近日 Android 設備被爆存在安全漏洞,但根源來自於蘋果的無損音頻編解碼器(ALAC)。目前,美國市場 95% 的 Android 設備來自於高通和聯發科,安全公司 Check Point 指出尚未安裝 2021 年 12 月 Android Security Patch 的設備都存在“Out-of-Bounds”安全漏洞,容易被黑客控制。
該漏洞存在於 ALAC 中,它通常被稱為蘋果無損音頻編解碼器。ALAC 是蘋果公司早在 2004 年就推出的一種音頻格式。顧名思義,該編解碼器承諾在互聯網上提供無損音頻。
雖然蘋果公司設計了自己的 ALAC 專利版本,但存在一個開源版本,高通公司和聯發科在Android智能手機中依賴該版本。值得注意的是,這兩家芯片組製造商都在使用一個自 2011 年以來沒有更新過的版本。
在一篇試圖解釋安全漏洞的博客文章中,Check Point寫道:
我們的研究人員發現的 ALAC 問題可以被攻擊者用來通過畸形的音頻文件對移動設備進行遠程代碼執行攻擊(RCE)。RCE 攻擊允許攻擊者在計算機上遠程執行惡意代碼。RCE 漏洞的影響範圍很廣,從惡意軟件的執行到攻擊者獲得對用戶多媒體數據的控制,包括從被攻擊機器的攝像頭中獲得流媒體。
高通公司一直在用 CVE 識別標籤 CVE-2021-30351 追蹤該漏洞,而聯發科則使用 CVE ID CVE-2021-0674 和 CVE-2021-0675。撇開技術術語不談,開源版蘋果無損檢測中的漏洞可被無特權的Android應用利用,將其系統權限升級到媒體數據和設備麥克風。這基本上意味着應用程序不僅可以竊聽電話交談,還可以竊聽附近的談話和其他環境聲音。