Компанія Check Point виявила вразливість у пропонованих компаніями MediaTek (CVE-2021-0674, CVE-2021-0675) та Qualcomm (CVE-2021-30351) декодувальниках формату стиснення звуку ALAC (Apple Lossless Audio Codec). Проблема дозволяє виконати код атакуючого під час обробки спеціально оформлених даних у форматі ALAC.
Небезпека вразливості посилюється тим, що вона зачіпає пристрої під керуванням платформи Android, оснащені чіпами MediaTek та Qualcomm. В результаті атаки зловмисник може організувати виконання шкідливого програмного забезпечення на пристрої, що має доступ до спілкування користувача та мультимедійних даних, включаючи дані з камери. За оцінкою проблеми схильні 2/3 всіх користувачів смартфонів на базі платформи Android. Наприклад, у США загальна частка всіх проданих у 4 кварталі 2021 року Android-смартфонів, що постачаються з чіпами MediaTek and Qualcomm, становила 95.1% (48.1% - MediaTek, 47% - Qualcomm).
Деталі експлуатації вразливості поки не розкриваються, але повідомляється, що компоненти MediaTek і Qualcomm для платформи Android виправлення були внесені в грудні 2021 року. У грудневому звіті про вразливості у платформі Android проблеми відзначені як критичні вразливості у закритих компонентах для чіпів Qualcomm. Уразливість у компонентах MediaTek у звітах не згадується.
Вразливість цікава своїм корінням. У 2011 році компанія Apple відкрила під ліцензією Apache 2.0 вихідні тексти кодека ALAC, що дозволяє стискати звукові дані без втрати якості, надала можливість використання всіх патентів, пов'язаних з кодеком. Код було опубліковано, але залишено без супроводу і не змінювалося за останні 11 років. При цьому компанія Apple продовжувала окремо підтримувати реалізацію, що застосовується у своїх платформах, у тому числі усувати в ній помилки та вразливості. Компанії MediaTek та Qualcomm заснували свої реалізації кодеків ALAC на спочатку відкритому компанією Apple коді, але не враховували у своїх варіантах виправлення вразливостей, що усуваються у реалізації від компанії Apple.
Про вияв уразливості в коді інших продуктів, які також використовують застарілий код ALAC, поки немає інформації. Наприклад, формат ALAC підтримується з FFmpeg 1.1, але код з реалізацією декодувальника активно супроводжується.
Джерело: opennet.ru