22/04/22
Аналитики безопасности обнаружили, что устройства Android, работающие на чипсетах Qualcomm и MediaTek, уязвимы для удаленного выполнения кода из-за недостатка в реализации Apple Lossless Audio Codec (ALAC).
ALAC — это формат кодирования звука для сжатия звука без потерь, открытый Apple в 2011 году. С тех пор компания выпускает обновления для этого формата, включая исправления безопасности, но не каждый сторонний поставщик, использующий кодек, применяет эти исправления.
Согласно отчету Check Point Research , сюда входят Qualcomm и MediaTek, два крупнейших в мире производителя чипов для смартфонов.
Звук RCE
Аналитики еще не предоставили много подробностей о фактическом использовании уязвимостей, но пообещали сделать это на предстоящем CanSecWest в мае 2022 года.Судя по имеющейся информации, уязвимость позволяет удаленному злоумышленнику выполнить код на целевом устройстве, отправив вредоносный аудиофайл и обманом заставив пользователя открыть его. Исследователи называют эту атаку «ALHACK».
Воздействие атак с удаленным выполнением кода имеет серьезные последствия, начиная от утечки данных, установки и запуска вредоносного ПО, изменения настроек устройства, доступа к аппаратным компонентам, таким как микрофон и камера, или захвата учетной записи.
Ошибки ALAC были исправлены MediaTek и Qualcomm в декабре 2021 года и отслеживаются как CVE-2021-0674 (средняя серьезность с оценкой 5,5), CVE-2021-0675 (высокая серьезность с оценкой 7,8) и CVE-2021-. 30351 (критическая степень тяжести с 9,8 балла).
Согласно анализу исследователей, реализации декодера ALAC от Qualcomm и MediaTek страдают от возможного чтения и записи за пределами допустимого диапазона и неправильной проверки аудиокадров, передаваемых во время воспроизведения музыки.
Возможные последствия включают раскрытие информации и повышение привилегий без необходимости взаимодействия с пользователем.
BleepingComputer попросила Qualcomm прокомментировать текущий риск для клиентов. Представитель компании предоставил следующее заявление:
Случай с недостатками аудиокодека
Исправления брешей удаленного выполнения кода в блоках обработки звука с закрытым исходным кодом присутствуют почти в каждом ежемесячном обновлении безопасности Android.Однако их использование редко бывает тривиальным, и поставщики компонентов предоставляют мало технических подробностей, чтобы снизить риск использования.
Например, апрельские патчи для Android включали девять исправлений критических уязвимостей в компонентах с закрытым исходным кодом. Одна из них — CVE-2021-35104 (9,8 балла) — переполнение буфера, приводившее к неправильному разбору заголовков при воспроизведении аудиоклипов в формате FLAC.
Баг коснулся чипсетов, присутствующих практически во всей линейке продуктов Qualcomm, выпущенных за последние несколько лет.
Как оставаться в безопасности
Здесь также применим стандартный совет по безопасности: обновляйте свои устройства, в данном случае это означает использование патча Android «декабрь 2021» или более поздней версии.Если устройство больше не получает обновления безопасности от поставщика, допустимым вариантом является установка стороннего дистрибутива Android, который по-прежнему предоставляет исправления для Android.
Наконец, при получении аудиофайлов из неизвестных или подозрительных источников/пользователей лучше не открывать их, так как они могут вызвать уязвимость.
Перевод - Google
Bleeping Computer
