Luka w zabezpieczeniach kodeka Apple używanego przez smartfony z systemem Android
Jest to kodek ALAC (Apple Lossless Audio Codec, znany również jako Apple Lossless lub Apple Lossless Encoder) opracowany przez Apple w 2004 roku. W 2011 roku oprogramowanie przeszło na model open source i jest szeroko stosowane w smartfonach z Androidem – w tym modelach z MediaTek oraz chipy Qualcomma, które pokrywają około 2/3 rynku. Problem polega na tym, że nie został naprawiony od 2011 roku.
Badacze z Check Point Research wykryli lukę w kodeku ALAC, która umożliwia zdalne wykonanie kodu na podatnym urządzeniu – metoda, która umożliwiła atakującemu przechwycenie funkcji multimedialnych smartfona (w tym odczytywanie nagrań i przesyłanie obrazów z kamery).
Na tym jednak problemy się nie kończą! Okazuje się, że luka umożliwiła aplikacjom podniesienie uprawnień i uzyskanie dostępu do plików multimedialnych oraz rozmów użytkowników.
Na razie warto zapewnić wszystkich, że naruszenie bezpieczeństwa nie stanowi już zagrożenia dla użytkowników smartfonów. Firma Check Point Research dostarczyła informacje o luce w zabezpieczeniach MediaTek i Qualcomm, która opublikowała odpowiednie poprawki i opublikowała odpowiednie informacje w biuletynach bezpieczeństwa (CVE-2021-0674 i CVE-2021-0675 dla MediaTek oraz CVE-2021-30351 dla Qualcomm).
Luka w kodeku ALAC jest przykładem tego, jak nieużywane oprogramowanie może być potencjalnie szkodliwe dla użytkowników. Chyba nikogo nie trzeba przekonywać, jak ważne są poprawki systemowe, które pomagają chronić sprzęt przed atakami cyberprzestępców.
Źródło: badania Check Point.
Dodaj komentarz