有外媒發現全球最大的兩間流動晶片製造商 Qualcomm 和 MediaTek 將易受攻擊的 ALAC 程式碼移植至他們的音訊編解碼器中,這些解碼器用於全球一半以上的智能手機上,約全球 2/3 的 Android 用戶的私隱或受到威脅。
由 Apple 開發的 Apple Lossless Audio Codec (ALAC),於 2004 年首次推出,亦稱為 Apple Lossless。其是一種音訊編碼格式,用於數碼音樂的無損數據壓縮。目前 ALAC 格式已使用到許多非 Apple 音訊播放裝置和程序中,其中包括 Android 智能手機、Linux 及 Windows 媒體播放器和轉換器。
外媒《Check Point Research》發現,ALAC 可能會被攻擊者通過用於流動裝置上格式錯誤的音訊文件,利用遠程程式碼進行攻擊(RCE)。其影響範圍從惡意軟件執行到攻擊者控制用戶的多媒體數據,其中包括受感染裝置攝影器及串流媒體。此外,非特權的 Android 應用程式可以利用這些漏洞來提升其權限以獲得對媒體數據和用戶對話的存取。
Apple 曾多次更新解碼器版本以修補安全問題,但其共享程式碼自 2011 年以來一直未修補。然而,許多第三方供應商使用 Apple 提供的程式碼作為自己 ALAC 的基礎實現。其中,《Check Point Research》發現 Qualcomm 和 MediaTek 將易受攻擊的 ALAC 程式碼移植到他們的音訊解碼器中。
根據 IDC 截至 2021 年第四季度的數據,在美國銷售的所有 Android 手機中,有 48.1% 由 MediaTek 提供,而 Qualcomm 目前擁有 47% 市場佔有率。《Check Point Research》表示,己向此兩家供應商透露信息並密切合作,以確保這些漏洞得到修復。
資料來源:checkpoint
—
unwire.hk Mewe 專頁: https://mewe.com/p/unwirehk