Miljoenen op Android-apparaten onthuld door niet-gepatchte Apple Lossless Codec-fout: onderzoekers


Beveiligingsfouten in een audiocodec zijn ontdekt door beveiligingsonderzoekers, waardoor miljoenen Android-telefoons en andere Android-apparaten aangedreven door chipsets van MediaTek en Qualcomm het risico lopen te worden aangetast door hackers. Afkomstig van een codec die enkele jaren geleden door Apple is gemaakt, werden de kwetsbaarheden niet gepatcht sinds het bedrijf de codec 11 jaar geleden open source maakte voor opname op niet-Apple-apparaten. Door gebruik te maken van de beveiligingsfouten, zou een aanvaller op afstand toegang kunnen krijgen tot de media- en audiogesprekken van een Android-telefoon, aldus de onderzoekers.

Volgens een verslag doen van door onderzoekers van Check Point Research, stelt een fout in de Apple Lossless Audio Codec (ALAC) van Apple een aanvaller in staat om een ​​externe code-uitvoering (RCE)-aanval uit te voeren op een doel-smartphone, na het verzenden van een misvormd audiobestand. Een RCE-aanval kan de aanvaller in staat stellen om controle te krijgen over multimedia op de handset, inclusief het streamen van video vanaf de camera’s, toegang tot media en gebruikersgesprekken.

De beveiligingsfouten werden ontdekt in de ALAC-codec van Apple, die in 2011 open source was door het bedrijf, waardoor niet-Apple-apparaten muziek konden streamen in ‘lossless’ kwaliteit met behulp van Apple’s eerder eigen codec. Hoewel Apple de eigen versie van de ALAC-codec heeft gepatcht, bleef de open-sourceversie volgens de onderzoekers ongepatcht.

Als gevolg hiervan zijn Qualcomm en MediaTek, chipsetfabrikanten die de kwetsbare ALAC-codec naar hun audiodecoders hebben geporteerd, waardoor meer dan twee derde van alle in 2021 verkochte smartphones kwetsbaar zijn voor de beveiligingsfouten, volgens de onderzoekers “ALHACK” genoemd. De kwetsbaarheden werden op verantwoorde wijze bekendgemaakt aan Qualcomm en MediaTek, die beide de problemen erkenden en Common Vulnerabilities and Exposures (CVE) voor de fouten toewijsden. MediaTek toegewezen CVE-2021-0674 en CVE-2021-0675 (met respectievelijk ‘Gemiddeld’ en ‘Hoog’ beoordelingen), terwijl Qualcomm toegewezen CVE-2021-30351 (met een ‘kritieke’ beoordeling van 9,8 uit 10) voor de ALAC-fouten, voordat ze worden gepatcht.

Volgens de onderzoekers hebben beide bedrijven patches uitgegeven voor de gebreken in de december 2021 Android-beveiligingsbulletin, wat betekent dat gebruikers met smartphones die de beveiligingspatches van december hebben ontvangen, beschermd moeten zijn tegen de kwetsbaarheden. Hierdoor worden echter miljoenen gebruikers die verouderde software gebruiken of gebruikers die onregelmatige beveiligingsupdates ontvangen, uitgesloten, waardoor ze het risico lopen te worden gecompromitteerd door aanvallers.


Leave a Reply

Your email address will not be published.