Firma Check Point zidentyfikowała lukę w dekoderach formatu kompresji dźwięku ALAC (Apple Lossless Audio Codec) oferowanych przez firmy MediaTek (CVE-2021-0674, CVE-2021-0675) i Qualcomm (CVE-2021-30351). Problem umożliwia wykonanie kodu atakującego podczas przetwarzania specjalnie sformatowanych danych w formacie ALAC.
Niebezpieczeństwo luki zwiększa fakt, że dotyczy ona urządzeń działających pod kontrolą platformy Android, wyposażonych w chipy MediaTek i Qualcomm. W wyniku ataku osoba atakująca może zorganizować wykonanie szkodliwego oprogramowania na urządzeniu mającym dostęp do danych komunikacyjnych i multimedialnych użytkownika, w tym danych z kamery. Szacuje się, że problem dotyczy 2/3 wszystkich użytkowników smartfonów opartych na platformie Android. Przykładowo w USA łączny udział wszystkich sprzedanych w czwartym kwartale 4 roku smartfonów z Androidem wyposażonych w chipy MediaTek i Qualcomm wyniósł 2021% (95.1% – MediaTek, 48.1% – Qualcomm).
Szczegóły wykorzystania luki nie zostały jeszcze ujawnione, ale podaje się, że komponenty MediaTek i Qualcomm dla platformy Android zostały załatane w grudniu 2021 roku. W grudniowym raporcie na temat luk w zabezpieczeniach platformy Android zidentyfikowano te problemy jako krytyczne luki w zastrzeżonych komponentach chipów Qualcomm. W raportach nie ma wzmianki o luce w komponentach MediaTek.
Podatność jest interesująca ze względu na swoje korzenie. W 2011 roku Apple otworzył kod źródłowy kodeka ALAC, który umożliwia kompresję danych audio bez utraty jakości, na licencji Apache 2.0 i umożliwił wykorzystanie wszystkich patentów związanych z kodekiem. Kod został opublikowany, ale pozostawiony bez konserwacji i nie był zmieniany przez ostatnie 11 lat. Jednocześnie Apple w dalszym ciągu oddzielnie wspierał implementację stosowaną na swoich platformach, w tym eliminował znajdujące się w niej błędy i podatności. MediaTek i Qualcomm oparły swoje implementacje kodeków ALAC na oryginalnym otwartym kodzie źródłowym Apple, ale nie uwzględniły w swoich poprawkach luk w zabezpieczeniach wyeliminowanych w implementacji Apple.
Nie ma jeszcze informacji o podatności w kodzie innych produktów, które również korzystają z przestarzałego kodu ALAC. Na przykład format ALAC jest obsługiwany od wersji FFmpeg 1.1, ale kod z implementacją dekodera jest aktywnie utrzymywany.
Źródło: opennet.ru