Check Point identifika vulnerabbiltà fid-decoders tal-format tal-kompressjoni tal-awdjo ALAC (Apple Lossless Audio Codec) offruti minn MediaTek (CVE-2021-0674, CVE-2021-0675) u Qualcomm (CVE-2021-30351). Il-problema tippermetti li l-kodiċi tal-attakkant jiġi esegwit meta tiġi pproċessata data fformattjata apposta f'format ALAC.
Il-periklu tal-vulnerabbiltà huwa aggravat mill-fatt li taffettwa apparati li jmexxu l-pjattaforma Android mgħammra b'ċipep MediaTek u Qualcomm. Bħala riżultat tal-attakk, attakkant jista 'jorganizza l-eżekuzzjoni ta' malware fuq apparat li għandu aċċess għal komunikazzjonijiet tal-utent u data multimedjali, inkluża data mill-kamera. Huwa stmat li 2/3 tal-utenti kollha tal-smartphone bbażati fuq il-pjattaforma Android huma affettwati mill-problema. Pereżempju, fl-Istati Uniti, is-sehem totali tal-ismartphones Android kollha mibjugħa fir-4 kwart tal-2021 li ntbagħtu b'ċipep MediaTek u Qualcomm kien 95.1% (48.1% - MediaTek, 47% - Qualcomm).
Dettalji dwar l-isfruttament tal-vulnerabbiltà għadhom ma ġewx żvelati, iżda huwa rrappurtat li l-komponenti MediaTek u Qualcomm għall-pjattaforma Android ġew patched f'Diċembru 2021. Rapport ta 'Diċembru dwar il-vulnerabbiltajiet fil-pjattaforma Android identifika l-kwistjonijiet bħala vulnerabbiltajiet kritiċi f'komponenti proprjetarji għaċ-ċipep Qualcomm. Il-vulnerabbiltà fil-komponenti MediaTek mhix imsemmija fir-rapporti.
Il-vulnerabbiltà hija interessanti minħabba l-għeruq tagħha. Fl-2011, Apple fetħet il-kodiċi tas-sors tal-codec ALAC, li jippermetti l-kompressjoni tad-dejta tal-awdjo mingħajr telf ta 'kwalità, taħt il-liċenzja Apache 2.0, u għamilha possibbli li jintużaw il-privattivi kollha relatati mal-codec. Il-kodiċi ġie ppubblikat iżda ma nżammx u ma nbidilx għal dawn l-aħħar 11-il sena. Fl-istess ħin, Apple kompliet tappoġġja separatament l-implimentazzjoni użata fil-pjattaformi tagħha, inkluż l-eliminazzjoni ta 'żbalji u vulnerabbiltajiet fiha. MediaTek u Qualcomm ibbażaw l-implimentazzjonijiet tagħhom tal-codec ALAC fuq il-kodiċi oriġinali open source ta 'Apple, iżda ma inkludewx vulnerabbiltajiet indirizzati fl-implimentazzjoni ta' Apple fl-irqajja tagħhom.
S'issa m'hemm l-ebda informazzjoni dwar il-vulnerabbiltà fil-kodiċi ta 'prodotti oħra li jużaw ukoll il-kodiċi ALAC skadut. Pereżempju, il-format ALAC ġie appoġġjat minn FFmpeg 1.1, iżda l-kodiċi bl-implimentazzjoni tad-decoder jinżamm attivament.
Sors: opennet.ru