پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > MediaTek اور Qualcomm ALAC ڈیکوڈرز میں کمزوری زیادہ تر اینڈرائیڈ ڈیوائسز کو متاثر کرتی ہے۔

MediaTek اور Qualcomm ALAC ڈیکوڈرز میں کمزوری زیادہ تر اینڈرائیڈ ڈیوائسز کو متاثر کرتی ہے۔

چیک پوائنٹ نے میڈیا ٹیک (CVE-2021-0674، CVE-2021-0675) اور Qualcomm (CVE-2021-30351) کے ذریعہ پیش کردہ ALAC (Apple Lossless Audio Codec) آڈیو کمپریشن فارمیٹ ڈیکوڈرز میں ایک کمزوری کی نشاندہی کی ہے۔ ALAC فارمیٹ میں خصوصی طور پر فارمیٹ شدہ ڈیٹا پر کارروائی کرتے وقت مسئلہ حملہ آور کوڈ کو عمل میں لانے کی اجازت دیتا ہے۔

خطرے کا خطرہ اس حقیقت سے بڑھ جاتا ہے کہ یہ میڈیا ٹیک اور کوالکوم چپس سے لیس اینڈرائیڈ پلیٹ فارم چلانے والے آلات کو متاثر کرتا ہے۔ حملے کے نتیجے میں، حملہ آور کسی ایسے آلے پر میلویئر کے عمل کو منظم کر سکتا ہے جس تک صارف کی کمیونیکیشنز اور ملٹی میڈیا ڈیٹا تک رسائی حاصل ہو، بشمول کیمرے کے ڈیٹا۔ ایک اندازے کے مطابق اینڈرائیڈ پلیٹ فارم پر مبنی تمام سمارٹ فون صارفین میں سے 2/3 اس مسئلے سے متاثر ہیں۔ مثال کے طور پر، امریکہ میں، 4 کی چوتھی سہ ماہی میں فروخت ہونے والے تمام Android اسمارٹ فونز کا کل حصہ جو MediaTek اور Qualcomm چپس کے ساتھ بھیجے گئے تھے 2021% (95.1% - MediaTek، 48.1% - Qualcomm) تھا۔

کمزوری کے استحصال کی تفصیلات ابھی تک ظاہر نہیں کی گئی ہیں، لیکن بتایا جاتا ہے کہ اینڈرائیڈ پلیٹ فارم کے لیے میڈیا ٹیک اور کوالکوم کے اجزاء دسمبر 2021 میں پیک کیے گئے تھے۔ اینڈرائیڈ پلیٹ فارم میں کمزوریوں کے بارے میں دسمبر کی ایک رپورٹ میں Qualcomm چپس کے ملکیتی اجزاء میں مسائل کی نشاندہی کی گئی ہے۔ میڈیا ٹیک کے اجزاء میں کمزوری کا ذکر رپورٹوں میں نہیں کیا گیا ہے۔

کمزوری اپنی جڑوں کی وجہ سے دلچسپ ہے۔ 2011 میں، ایپل نے ALAC کوڈیک کا سورس کوڈ کھولا، جو Apache 2.0 لائسنس کے تحت، معیار کے نقصان کے بغیر آڈیو ڈیٹا کو کمپریشن کرنے کی اجازت دیتا ہے، اور کوڈیک سے متعلق تمام پیٹنٹس کا استعمال ممکن بناتا ہے۔ کوڈ شائع کیا گیا تھا لیکن اسے برقرار نہیں رکھا گیا تھا اور پچھلے 11 سالوں سے اسے تبدیل نہیں کیا گیا تھا۔ ایک ہی وقت میں، ایپل نے اپنے پلیٹ فارمز میں استعمال ہونے والے عمل درآمد کی الگ سے حمایت جاری رکھی، بشمول اس میں موجود خامیوں اور کمزوریوں کو ختم کرنا۔ MediaTek اور Qualcomm نے اپنے ALAC کوڈیک کے نفاذ کو ایپل کے اصل اوپن سورس کوڈ پر مبنی کیا، لیکن ان کے پیچ میں ایپل کے عمل میں آنے والی کمزوریوں کو شامل نہیں کیا۔

پرانے ALAC کوڈ کا استعمال کرنے والی دیگر مصنوعات کے کوڈ میں خطرے کے بارے میں ابھی تک کوئی معلومات نہیں ہے۔ مثال کے طور پر، ALAC فارمیٹ کو FFmpeg 1.1 سے سپورٹ کیا گیا ہے، لیکن ڈیکوڈر کے نفاذ کے ساتھ کوڈ کو فعال طور پر برقرار رکھا گیا ہے۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں