Apple Lossless Audio Codec (ALAC) ഓഡിയോ കംപ്രഷൻ ഫോർമാറ്റിനായുള്ള മീഡിയടെക്കിലും (CVE-2021-0674, CVE-2021-0675), Qualcomm (CVE-2021-30351) ഡീകോഡറുകളിലും ഒരു അപകടസാധ്യത ചെക്ക് പോയിന്റ് തിരിച്ചറിഞ്ഞു. ALAC ഫോർമാറ്റിൽ പ്രത്യേകം ഫോർമാറ്റ് ചെയ്ത ഡാറ്റ പ്രോസസ്സ് ചെയ്യുമ്പോൾ അറ്റാക്കർ കോഡ് എക്സിക്യൂട്ട് ചെയ്യാൻ പ്രശ്നം അനുവദിക്കുന്നു.
മീഡിയടെക്കും ക്വാൽകോം ചിപ്പുകളും ഘടിപ്പിച്ച ആൻഡ്രോയിഡ് ഉപകരണങ്ങളെ ബാധിക്കുന്നതാണ് അപകടസാധ്യത വർദ്ധിപ്പിക്കുന്നത്. ആക്രമണത്തിന്റെ ഫലമായി, ക്യാമറയിൽ നിന്നുള്ള ഡാറ്റ ഉൾപ്പെടെ, ഉപയോക്താവിന്റെ ആശയവിനിമയത്തിലേക്കും മൾട്ടിമീഡിയ ഡാറ്റയിലേക്കും ആക്സസ് ഉള്ള ഒരു ഉപകരണത്തിൽ ഒരു ആക്രമണകാരിക്ക് ക്ഷുദ്രവെയറിന്റെ നിർവ്വഹണം സംഘടിപ്പിക്കാൻ കഴിയും. ഏകദേശ കണക്കനുസരിച്ച്, ആൻഡ്രോയിഡ് പ്ലാറ്റ്ഫോമിനെ അടിസ്ഥാനമാക്കിയുള്ള സ്മാർട്ട്ഫോണുകളുടെ എല്ലാ ഉപയോക്താക്കളിൽ 2/3 പേരും ഈ പ്രശ്നത്തെ ബാധിക്കുന്നു. ഉദാഹരണത്തിന്, യുഎസിൽ, മീഡിയടെക്കും ക്വാൽകോം ചിപ്പുകളും ഉപയോഗിച്ച് ഷിപ്പുചെയ്ത Q4 2021-ൽ വിറ്റഴിച്ച എല്ലാ ആൻഡ്രോയിഡ് സ്മാർട്ട്ഫോണുകളുടെയും മൊത്തം വിഹിതം 95.1% ആയിരുന്നു (48.1% - മീഡിയടെക്, 47% - ക്വാൽകോം).
അപകടസാധ്യത ചൂഷണം ചെയ്യുന്നതിന്റെ വിശദാംശങ്ങൾ ഇതുവരെ വെളിപ്പെടുത്തിയിട്ടില്ല, എന്നാൽ 2021 ഡിസംബറിൽ ആൻഡ്രോയിഡ് പ്ലാറ്റ്ഫോമിനായി മീഡിയടെക്കും ക്വാൽകോം ഘടകങ്ങളും പരിഹരിക്കപ്പെട്ടതായി റിപ്പോർട്ടുണ്ട്. ആൻഡ്രോയിഡ് പ്ലാറ്റ്ഫോമിലെ കേടുപാടുകളെക്കുറിച്ചുള്ള ഡിസംബറിലെ റിപ്പോർട്ടിൽ, ക്വാൽകോം ചിപ്പുകൾക്കുള്ള അടച്ച ഘടകങ്ങളിൽ പ്രശ്നങ്ങൾ ഗുരുതരമായ കേടുപാടുകളായി അടയാളപ്പെടുത്തിയിരിക്കുന്നു. MediaTek ഘടകങ്ങളിലെ അപകടസാധ്യത റിപ്പോർട്ടുകളിൽ പരാമർശിച്ചിട്ടില്ല.
ദുർബലത അതിന്റെ വേരുകൾക്ക് രസകരമാണ്. 2011-ൽ, ആപ്പിൾ അപ്പാച്ചെ 2.0 ലൈസൻസിന് കീഴിൽ ALAC കോഡെക്കിനുള്ള സോഴ്സ് കോഡ് തുറന്നു, ഇത് ഗുണനിലവാരം നഷ്ടപ്പെടാതെ ഓഡിയോ ഡാറ്റ കംപ്രസ്സുചെയ്യാൻ നിങ്ങളെ അനുവദിക്കുന്നു, കൂടാതെ കോഡെക്കുമായി ബന്ധപ്പെട്ട എല്ലാ പേറ്റന്റുകളും ഉപയോഗിക്കുന്നത് സാധ്യമാക്കി. കോഡ് പ്രസിദ്ധീകരിച്ചു, പക്ഷേ പരിപാലിക്കപ്പെടാതെ അവശേഷിക്കുന്നു, കഴിഞ്ഞ 11 വർഷമായി ഇത് മാറിയിട്ടില്ല. അതേസമയം, ആപ്പിൾ അതിന്റെ പ്ലാറ്റ്ഫോമുകളിൽ ഉപയോഗിക്കുന്ന ബഗുകളും കേടുപാടുകളും പരിഹരിക്കുന്നത് ഉൾപ്പെടെയുള്ള നടപ്പാക്കലിനെ പ്രത്യേകം പിന്തുണയ്ക്കുന്നത് തുടർന്നു. MediaTek ഉം Qualcomm ഉം ALAC കോഡെക്കുകൾ ആപ്പിളിന്റെ യഥാർത്ഥ ഓപ്പൺ സോഴ്സ് കോഡിനെ അടിസ്ഥാനമാക്കിയുള്ളതാണ്, എന്നാൽ അവയുടെ നിർവഹണങ്ങളിൽ ആപ്പിളിന്റെ നടപ്പാക്കൽ മുഖേനയുള്ള കേടുപാടുകൾ പരിഹരിച്ചില്ല.
കാലഹരണപ്പെട്ട ALAC കോഡ് ഉപയോഗിക്കുന്ന മറ്റ് ഉൽപ്പന്നങ്ങളുടെ കോഡിലെ ഒരു അപകടസാധ്യതയെക്കുറിച്ച് ഇതുവരെ ഒരു വിവരവുമില്ല. ഉദാഹരണത്തിന്, FFmpeg 1.1 മുതൽ ALAC ഫോർമാറ്റ് പിന്തുണയ്ക്കുന്നു, എന്നാൽ ഡീകോഡർ നടപ്പിലാക്കൽ കോഡ് സജീവമായി പരിപാലിക്കപ്പെടുന്നു.
അവലംബം: opennet.ru