A Check Point identificou uma vulnerabilidade nos decodificadores de formato de compressão de áudio ALAC (Apple Lossless Audio Codec) oferecidos pela MediaTek (CVE-2021-0674, CVE-2021-0675) e Qualcomm (CVE-2021-30351). O problema permite que o código do invasor seja executado ao processar dados especialmente formatados no formato ALAC.
O perigo da vulnerabilidade é agravado pelo fato de afetar dispositivos que rodam a plataforma Android equipada com chips MediaTek e Qualcomm. Como resultado do ataque, um invasor pode organizar a execução de malware em um dispositivo que tenha acesso às comunicações do usuário e aos dados multimídia, incluindo dados da câmera. Estima-se que 2/3 de todos os usuários de smartphones baseados na plataforma Android sejam afetados pelo problema. Por exemplo, nos EUA, a participação total de todos os smartphones Android vendidos no 4º trimestre de 2021 fornecidos com chips MediaTek e Qualcomm foi de 95.1% (48.1% - MediaTek, 47% - Qualcomm).
Os detalhes da exploração da vulnerabilidade ainda não foram divulgados, mas é relatado que os componentes MediaTek e Qualcomm para a plataforma Android foram corrigidos em dezembro de 2021. Um relatório de dezembro sobre vulnerabilidades na plataforma Android identificou os problemas como vulnerabilidades críticas em componentes proprietários de chips Qualcomm. A vulnerabilidade nos componentes do MediaTek não é mencionada nos relatórios.
A vulnerabilidade é interessante por causa de suas raízes. Em 2011, a Apple abriu o código-fonte do codec ALAC, que permite a compactação de dados de áudio sem perda de qualidade, sob a licença Apache 2.0, e possibilitou a utilização de todas as patentes relacionadas ao codec. O código foi publicado, mas não foi mantido e não foi alterado nos últimos 11 anos. Ao mesmo tempo, a Apple continuou a apoiar separadamente a implementação usada em suas plataformas, incluindo a eliminação de erros e vulnerabilidades nela. MediaTek e Qualcomm basearam suas implementações de codec ALAC no código-fonte aberto original da Apple, mas não incluíram vulnerabilidades abordadas na implementação da Apple em seus patches.
Ainda não há informações sobre a vulnerabilidade no código de outros produtos que também utilizam o código ALAC desatualizado. Por exemplo, o formato ALAC é suportado desde o FFmpeg 1.1, mas o código com a implementação do decodificador é mantido ativamente.
Fonte: opennet.ru