Een nieuw Check Point beveiligingsonderzoek, genaamd ALHACK, onthult kwetsbaarheden in het ALAC-formaat van de audiodecoders van Qualcomm- en MediaTek-chips. De kwetsbaarheden kunnen bedreigingsactoren op afstand toegang geven tot media- en audiogesprekken van getroffen apparaten.
Het ALAC audiocoderingsformaat wordt gebruikt door de twee grote fabrikanten van mobiele chipset in hun mobiele handsets, en kunnen miljoenen Android-gebruikers het risico lopen hun privacy bloot te stellen, aldus het rapport. Bovendien, twee derde van alle verkochte smartphones in 2021 zijn kwetsbaar. Gelukkig, beide fabrikanten erkenden de problemen en brachten patches en fixes uit als reactie op de ontdekking.
Het ALAC-formaat in Qualcomm- en MediaTec-chipsets Kwetsbaar
Allereerst, wat is het ALAC-formaat?? Het formaat, ook bekend als Apple Lossless, is een audiocoderingsformaat ontwikkeld door Apple Inc. Het werd voor het eerst geïntroduceerd in 2004 om de doeleinden van verliesvrije datacompressie van digitale muziek te dienen;. Het is opmerkelijk dat Apple het open-source heeft gemaakt in 2011, en sinds toen, het formaat is ingebed in veel niet-Apple audio-afspeelapparaten en programma's, zoals Android, Linux- en Windows-mediaspelers en -converters.
"Sindsdien heeft Apple de eigen versie van de decoder verschillende keren bijgewerkt, beveiligingsproblemen oplossen en patchen, maar de gedeelde code is sindsdien niet meer gepatcht 2011. Veel externe leveranciers gebruiken de door Apple geleverde code als basis voor hun eigen ALAC-implementaties, en het is redelijk om aan te nemen dat velen van hen de externe code niet onderhouden,"Check Point opgemerkt".
Het blijkt dat twee van de grootste fabrikanten van mobiele chips ter wereld, Qualcomm en MediatEK, gebruikten de kwetsbare ALAC-code in hun audiodecoders. Deze laatste zijn opgenomen in meer dan de helft van de smartphones die wereldwijd worden verkocht. “Volgens IDC, 48.1% van alle Android-telefoons die in de VS worden verkocht, wordt vanaf Q4 mogelijk gemaakt door MediaTek 2021, terwijl Qualcomm momenteel in het bezit is 47% van de markt,”Aldus de onderzoekers.
Door de kwetsbaarheden kan externe code worden uitgevoerd
Check Point ontdekte dat de kwetsbaarheden gebruikt konden worden in ruitvoering van emote-code (RCE) aanvallen op mobiele apparaten met een misvormd audiobestand. Bovendien, een onbevoorrechte Android-app kan de zwakke punten ook gebruiken om zijn privileges te escaleren en toegang te krijgen tot mediagegevens en gebruikersgesprekken.
De kwetsbaarheden zijn door MediaTek aan CVE-2021-0674 en CVE-2021-0675 toegewezen aan de ALAC-problemen. “De kwetsbaarheden waren al opgelost en gepubliceerd in de december 2021 MediaTek-beveiligingsbulletin. Qualcomm heeft de patch voor CVE-2021-30351 in december uitgebracht 2021 Qualcomm-beveiligingsbulletin," het verslag bekend.
Hier is een samenvatting van de ALAC-kwetsbaarheden:
- CVE-2021-0674 met een CVSS-score van 5.5, beïnvloedt MediaTek-chipsets. Een geval van onjuiste invoervalidatie in de ALAC-decoder kan leiden tot het vrijgeven van informatie zonder dat er enige gebruikersinteractie nodig is.
- CVE-2021-0675 heeft een CVSS-score van 7.8, en bevindt zich ook in MediaTek. Het is beschreven als een probleem met de escalatie van lokale bevoegdheden in de ALAC-decoder afkomstig van schrijven buiten het bereik.
- CVE-2021-30351 heeft een CVSS-score van 9.8, en beïnvloedt Qualcomm. Het is een out-of-bound geheugentoegangsprobleem dat wordt veroorzaakt door een onjuiste validatie van het aantal frames dat wordt doorgegeven tijdens het afspelen van muziek.
In 2020, beveiligingsonderzoekers onthulden de zogenaamde Achilles-kwetsbaarheid in Qualcomm-chipsets die van invloed waren op Android-apparaten. Specifieker, Achilles is een verzameling van over 400 bugs in de embedded Qualcomm-chipsets. De kern van de problemen was een storing in de DSP-processorfuncties die zou kunnen leiden tot onjuiste behandeling van de belangrijkste functies van het Android-apparaat: procesuitvoering, opladen en multimedia-uitvoering.