Androidスマートフォンで使用されているAppleコーデックで発見された脆弱性
これは、2004年にAppleによって開発されたALAC(Apple Lossless Audio Codec、別名AppleLosslessまたはAppleLossless Encoder)コーデックです。2011年に、ソフトウェアはオープンソースモデルに移行し、MediaTekを搭載したモデルを含むAndroidスマートフォンで広く使用されています。 Qualcommチップは、市場の約2/3をカバーしています。問題は、2011年以降修正されていないことです。
Check Point Researchの研究者は、脆弱なデバイスでのリモートコード実行を可能にするALACコーデックの脆弱性を発見しました。これは、攻撃者がスマートフォンのマルチメディア機能(記録の読み取りやカメラからの画像の送信を含む)をキャプチャできる方法です。
しかし、問題はそれだけではありません。この脆弱性により、アプリケーションは権利を高め、マルチメディアファイルやユーザーの会話にアクセスできるようになりました。
今のところ、セキュリティ違反がスマートフォンユーザーに脅威を与えないことを全員に保証する価値があります。Check Point Researchは、MediaTekおよびQualcommの脆弱性に関する情報を提供し、関連するパッチをリリースし、セキュリティ情報(MediaTekの場合はCVE-2021-0674およびCVE-2021-0675、Qualcommの場合はCVE-2021-30351)で関連情報を公開しました。
ALACコーデックの脆弱性は、未使用のソフトウェアがユーザーに害を及ぼす可能性があることの例です。おそらく、サイバー犯罪者による攻撃から機器を保護するためにシステムパッチがどれほど重要であるかを誰もが確信する必要はありません。
出典:チェック・ポイントの調査。
コメントを残す