Une nouvelle recherche sur la sécurité de Check Point, surnommé ALHACK, révèle des vulnérabilités dans le format ALAC des décodeurs audio des puces Qualcomm et MediaTek. Les vulnérabilités pourraient accorder aux acteurs de la menace un accès à distance aux médias et aux conversations audio des appareils concernés..
Le format de codage audio ALAC est utilisé par les deux grands fabricants de chipsets mobiles dans leurs combinés mobiles, et pourrait mettre des millions d'utilisateurs d'Android en danger d'exposer leur vie privée, le rapport. En outre, deux tiers de tous les smartphones vendus en 2021 sont vulnérables. Heureusement, les deux fabricants ont reconnu les problèmes et ont publié des correctifs et des correctifs en réponse à la découverte.
Le format ALAC dans les chipsets Qualcomm et MediaTec est vulnérable
Tout d'abord, quel est le format ALAC? Le format, également connu sous le nom Apple Lossless, est un format de codage audio développé par Apple Inc. Il a été introduit pour la première fois en 2004 pour servir les objectifs de compression de données sans perte de musique numérique. Il est à noter qu'Apple l'a rendu open-source en 2011, et depuis, le format a été intégré dans de nombreux appareils et programmes de lecture audio non Apple, comme Androïd, Lecteurs et convertisseurs multimédia Linux et Windows.
"Depuis lors, Apple a mis à jour plusieurs fois la version propriétaire du décodeur, résolution et correction des problèmes de sécurité, mais le code partagé n'a pas été corrigé depuis 2011. De nombreux fournisseurs tiers utilisent le code fourni par Apple comme base pour leurs propres implémentations ALAC, et il est juste de supposer que beaucoup d'entre eux ne maintiennent pas le code externe,” Check Point a noté.
Il s'avère que deux des plus grands fabricants de puces mobiles au monde, Qualcomm et MediatEK, ont utilisé le code ALAC vulnérable dans leurs décodeurs audio. Ces derniers sont inclus dans plus de la moitié des smartphones vendus dans le monde. "Selon IDC, 48.1% de tous les téléphones Android vendus aux États-Unis sont alimentés par MediaTek au quatrième trimestre 2021, tandis que Qualcomm détient actuellement 47% du marché,» Les chercheurs.
Les vulnérabilités pourraient permettre l'exécution de code à distance
Check Point a découvert que les vulnérabilités pouvaient être utilisées dans rexécution de code emote (RCE) attaques sur les appareils mobiles à l'aide d'un fichier audio malformé. En outre, une application Android non privilégiée pourrait également utiliser les faiblesses pour élever ses privilèges et obtenir l'accès aux données multimédias et aux conversations des utilisateurs.
Les vulnérabilités ont été attribuées CVE-2021-0674 et CVE-2021-0675 par MediaTek aux problèmes ALAC. "Les vulnérabilités étaient déjà corrigées et publiées dans le numéro de décembre 2021 Bulletin de sécurité MediaTek. Qualcomm a publié le correctif pour CVE-2021-30351 en décembre 2021 Bulletin de sécurité Qualcomm," le rapport c'est noté.
Voici un résumé des vulnérabilités ALAC:
- CVE-2021-0674 avec un score CVSS de 5.5, affecte les chipsets MediaTek. Un cas de validation d'entrée incorrecte dans le décodeur ALAC pourrait conduire à la divulgation d'informations sans nécessiter aucune interaction de l'utilisateur.
- CVE-2021-0675 a un score CVSS de 7.8, et est également situé dans MediaTek. Il a été décrit comme un problème d'escalade de privilèges local dans le décodeur ALAC provenant d'une écriture hors limites.
- CVE-2021-30351 a un score CVSS de 9.8, et affecte Qualcomm. Il s'agit d'un problème d'accès à la mémoire hors limite causé par une mauvaise validation du nombre d'images transmises lors de la lecture de musique.
Dans 2020, des chercheurs en sécurité ont révélé le soi-disant Vulnérabilité Achille dans les chipsets Qualcomm qui affectaient les appareils Android. Plus précisement, Achilles est une collection de plus 400 bogues dans les chipsets Qualcomm intégrés. Le cœur des problèmes était une perturbation des fonctions du processeur DSP qui pouvait entraîner une mauvaise gestion des fonctionnalités les plus importantes de l'appareil Android.: exécution de processus, chargement et exécution multimédia.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: