有外媒发现全球最大的两间流动芯片制造商Qualcomm和MediaTek将易受攻击的ALAC程序代码移植至他们的音频编解码器中,这些解码器用于全球一半以上的智慧手机上,约全球2/3的Android用户的隐私或受到威胁。
由Apple开发的Apple Lossless Audio Codec (ALAC),于2004年首次推出,也称为Apple Lossless。其是一种音频编码格式,用于数码音乐的无损数据压缩。目前ALAC格式已使用到许多非Apple音频播放设备和程序中,其中包括Android智能手机、Linux及Windows媒体播放器和转换器。
外媒《Check Point Research》发现,ALAC可能会被攻击者通过用于流动设备上格式错误的音频文件,利用远程程序代码进行攻击(RCE)。其影响范围从恶意软件执行到攻击者控制用户的多媒体数据,其中包括受感染设备摄影器及流媒体。此外,非特权的Android应用程序可以利用这些漏洞来提升其权限以获得对媒体数据和用户对话的访问。
Apple曾多次更新解码器版本以修补安全问题,但其共享程序代码自2011年以来一直未修补。然而,许多第三方供应商使用Apple提供的程序代码作为自己ALAC的基础实现。其中,《Check Point Research》发现Qualcomm和MediaTek将易受攻击的ALAC程序代码移植到他们的音频解码器中。
根据IDC截至2021年第四季度的数据,在美国销售的所有Android手机中,有48.1%由MediaTek提供,而Qualcomm目前拥有47%市场占有率。 《Check Point Research》表示,己向此两家供应商透露信息并密切合作,以确保这些漏洞得到修复。
数据源:checkpoint