Check Point heeft een kwetsbaarheid geïdentificeerd in ALAC (Apple Lossless Audio Codec) audiocompressieformaatdecoders aangeboden door MediaTek (CVE-2021-0674, CVE-2021-0675) en Qualcomm (CVE-2021-30351). Door dit probleem kan aanvallercode worden uitgevoerd bij het verwerken van speciaal geformatteerde gegevens in ALAC-indeling.
Het gevaar van de kwetsbaarheid wordt vergroot door het feit dat het gevolgen heeft voor apparaten met het Android-platform die zijn uitgerust met MediaTek- en Qualcomm-chips. Als gevolg van de aanval kan een aanvaller de uitvoering van malware organiseren op een apparaat dat toegang heeft tot gebruikerscommunicatie en multimediagegevens, inclusief gegevens van de camera. Geschat wordt dat 2/3 van alle smartphonegebruikers op basis van het Android-platform door het probleem wordt getroffen. In de VS bedroeg het totale aandeel van alle Android-smartphones die in het 4e kwartaal van 2021 werden verkocht en die werden geleverd met MediaTek- en Qualcomm-chips bijvoorbeeld 95.1% (48.1% - MediaTek, 47% - Qualcomm).
Details over de exploitatie van de kwetsbaarheid zijn nog niet bekendgemaakt, maar naar verluidt zijn de MediaTek- en Qualcomm-componenten voor het Android-platform in december 2021 gepatcht. In een rapport uit december over kwetsbaarheden op het Android-platform werden de problemen geïdentificeerd als kritieke kwetsbaarheden in eigen componenten voor Qualcomm-chips. De kwetsbaarheid in MediaTek-componenten wordt niet vermeld in de rapporten.
Kwetsbaarheid is interessant vanwege de wortels ervan. In 2011 opende Apple de broncode van de ALAC-codec, die compressie van audiogegevens mogelijk maakt zonder kwaliteitsverlies, onder de Apache 2.0-licentie, en maakte het mogelijk om alle patenten met betrekking tot de codec te gebruiken. De code is gepubliceerd, maar niet onderhouden en is de afgelopen 11 jaar niet gewijzigd. Tegelijkertijd bleef Apple de implementatie die op zijn platforms werd gebruikt afzonderlijk ondersteunen, inclusief het elimineren van fouten en kwetsbaarheden daarin. MediaTek en Qualcomm baseerden hun ALAC-codec-implementaties op de originele open source-code van Apple, maar namen de kwetsbaarheden die in de implementatie van Apple werden aangepakt niet op in hun patches.
Er is nog geen informatie over de kwetsbaarheid in de code van andere producten die ook gebruik maken van de verouderde ALAC-code. Het ALAC-formaat wordt bijvoorbeeld ondersteund sinds FFmpeg 1.1, maar de code met de decoderimplementatie wordt actief onderhouden.
Bron: opennet.ru