出處:cnBeta.COM 作者:佚名
近日 Android 設(shè)備被爆存在安全漏洞�����,但根源來自于蘋果的無損音頻編解碼器(ALAC)���。 目前,美國市場 95% 的 Android 設(shè)備來自于高通和聯(lián)發(fā)科����,安全公司 Check Point 指出尚未安裝 2021 年 12 月 Android Security Patch 的設(shè)備都存在“Out-of-Bounds”安全漏洞,容易被黑客控制�����。
該漏洞存在于 ALAC 中�,它通常被稱為 蘋果 無損音頻編解碼器。ALAC 是蘋果公司早在 2004 年就推出的一種音頻格式�。顧名思義,該編解碼器承諾在互聯(lián)網(wǎng)上提供無損音頻���。
雖然蘋果公司設(shè)計(jì)了自己的 ALAC 專利版本�,但存在一個(gè)開源版本,高通公司和聯(lián)發(fā)科在Android智能 手機(jī) 中依賴該版本�。值得注意的是,這兩家芯片組制造商都在使用一個(gè)自 2011 年以來沒有更新過的版本���。
在一篇試圖解釋安全漏洞的博客文章中,Check Point寫道:
我們的研究人員發(fā)現(xiàn)的 ALAC 問題可以被攻擊者用來通過畸形的音頻文件對移動設(shè)備進(jìn)行遠(yuǎn)程代碼執(zhí)行攻擊(RCE)�。RCE 攻擊允許攻擊者在計(jì)算機(jī)上遠(yuǎn)程執(zhí)行惡意代碼。RCE 漏洞的影響范圍很廣����,從惡意軟件的執(zhí)行到攻擊者獲得對用戶多媒體數(shù)據(jù)的控制,包括從被攻擊機(jī)器的攝像頭中獲得流媒體��。
高通公司一直在用 CVE 識別標(biāo)簽 CVE-2021-30351 追蹤該漏洞�����,而聯(lián)發(fā)科則使用 CVE ID CVE-2021-0674 和 CVE-2021-0675�����。撇開技術(shù)術(shù)語不談�,開源版蘋果無損檢測中的漏洞可被無特權(quán)的Android應(yīng)用利用,將其系統(tǒng)權(quán)限升級到媒體數(shù)據(jù)和設(shè)備麥克風(fēng)����。這基本上意味著應(yīng)用程序不僅可以竊聽電話交談�,還可以竊聽附近的談話和其他環(huán)境聲音��。
