Новости Новости 22.04.2022 в 16:35 comment views icon

В аудиокодеке ALAC обнаружена критическая уязвимость, сделавшая миллионы Android-устройств с чипсетами Qualcomm и MediaTek незащищенными от хакеров

author avatar
https://secure.gravatar.com/avatar/b303a3ef67b301f02882656cb7a9184b?s=96&r=g&d=https://itc.ua/wp-content/uploads/2023/06/no-avatar.png *** https://secure.gravatar.com/avatar/b303a3ef67b301f02882656cb7a9184b?s=96&r=g&d=https://itc.ua/wp-content/uploads/2023/06/no-avatar.png *** https://itc.ua/wp-content/themes/ITC_6.0/images/no-avatar.svg

Тетяна Нечет

Автор новостей

Компания Check Point сообщила об обнаружении уязвимости, которая могла дать возможность хакерам взять под контроль миллионы устройств с ОС Android на базе мобильных чипсетов производства Qualcomm и MediaTek.

Уязвимость нашли в ALAC (Apple Lossless Audio Codec или Apple Lossless) — аудиокодеке, представленном Apple в 2004 году для передачи звука без потерь через интернет. Apple на протяжении многих лет обновляла проприетарную версию декодера, чтобы исправить уязвимости в системе безопасности. Однако версия с открытым исходным кодом, используемая Qualcomm и MediaTek, не обновлялась с 2011 года. Qualcomm и MediaTek портировали уязвимый код ALAC в свои аудиодекодеры, которые используются более чем в половине всех смартфонов по всему миру.

Хакеры могут использовать ошибку в ALAC, чтобы заставить декодер запустить вредоносный код.

«Проблемы ALAC, обнаруженные нашими исследователями, могут быть использованы злоумышленником для атаки с удаленным выполнением кода (RCE) на мобильное устройство через измененный аудиофайл. RCE-атаки позволяют злоумышленнику удаленно запустить вредоносный код на компьютере. Воздействие RCE-уязвимости может варьироваться от запуска вредоносного ПО до получения злоумышленником контроля над мультимедийными данными пользователя, включая потоковую передачу с камеры взломанного устройства», — сказано в отчете Check Point.

Один из исследователей компании предположил, что две трети всех смартфонов, проданных в 2021 году, уязвимы для кибератаки, если на них не установлен патч.

Уязвимость ALAC (Qualcomm как CVE-2021-30351, CVE-2021-0674 и CVE-2021-0675 MediaTek) также может быть использована непривилегированным приложением Android для повышения своих системных привилегий для доступа к мультимедийным данным и микрофона устройства. Поэтому гаджеты могли прослушивать.

Курс Fullstack Web Development.
Стань універсальним розробником, який може створювати веб-рішення з нуля.
Приєднатися

В декабре 2021 года MediaTek выпустила исправления для уязвимостей CVE-2021-0674 и CVE-2021-0675, Qualcomm — для CVE-2021-30351.

Пользователи Android могут проверить, насколько защищено их устройство, в настройках. Если последнее обновление безопасности было в декабре 2021 года или позже, то гаджет больше не содержит уязвимости.

Продолжается конкурс авторов ИТС. Напиши статью о развитии игр, гейминг и игровые девайсы и выигрывай профессиональный игровой руль Logitech G923 Racing Wheel, или одну из низкопрофильных игровых клавиатур Logitech G815 LIGHTSYNC RGB Mechanical Gaming Keyboard!


Loading comments...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: