Android中的嚴重bug可導(dǎo)致用戶媒體文件被訪問
2022年04月23日
近期����,安全分析師發(fā)現(xiàn)��,由于Apple無損音頻編解碼器(ALAC)的實施存在缺陷���,在高通和聯(lián)發(fā)科芯片組上運行的Android設(shè)備容易受到遠程代碼執(zhí)行的影響�。
ALAC是一種用于無損音頻壓縮的音頻編碼格式�,Apple于2011年開源。從那時起�����,該公司一直在發(fā)布該格式的更新�����,包括安全修復(fù)程序��,但并非每個使用該編解碼器的第三方供應(yīng)商都應(yīng)用這些修復(fù)程序�����。根據(jù)Check Point Research的一份報告�,這包括全球最大的兩家智能手機芯片制造商高通和聯(lián)發(fā)科。
雖然分析師尚未提供有關(guān)實際利用這些漏洞的許多細節(jié)��,但承諾會在2022 年 5月即將舉行的CanSecWest上提供更多詳細信息。從目前可用的詳細信息來看�,該漏洞使遠程攻擊者能夠通過發(fā)送惡意制作的音頻文件并誘使用戶打開它來在目標(biāo)設(shè)備上執(zhí)行代碼。研究人員稱這種攻擊為“ALHACK”�����。而遠程代碼執(zhí)行攻擊會帶來嚴重的影響���,包括數(shù)據(jù)泄露��、植入和執(zhí)行惡意軟件�、修改設(shè)備設(shè)置���、訪問麥克風(fēng)和攝像頭等硬件組件或帳戶接管��。
聯(lián)發(fā)科和高通公司于2021年12月修復(fù)了ALAC漏洞���,該漏洞編號為CVE-2021-0674(中等嚴重性,得分 5.5)��、CVE-2021-0675(高嚴重性��,得分 7.8)和CVE-2021- 30351(嚴重程度為 9.8 分)����。根據(jù)研究人員的分析,高通和聯(lián)發(fā)科的ALAC解碼器實現(xiàn)可能存在越界讀寫�,以及對音樂播放期間傳遞的音頻幀的不正確驗證,而這樣可能造成用戶信息泄露的后果��。
BleepingComputer 要求高通就當(dāng)前客戶面臨的風(fēng)險發(fā)表評論��。公司發(fā)言人提供了以下聲明:
提供支持強大安全和隱私的技術(shù)是高通的首要任務(wù)����。我們贊揚 Check Point Technologies 的安全研究人員使用行業(yè)標(biāo)準(zhǔn)的協(xié)調(diào)披露做法。關(guān)于他們披露的 ALAC 音頻解碼器問題�����,高通于2021 年 10月向設(shè)備制造商提供了補丁���。我們鼓勵最終用戶在安全更新可用時更新他們的設(shè)備�����。
音頻編解碼器漏洞案例
幾乎每個月的Android安全更新中都會修復(fù)閉源音頻處理單元中的遠程代碼執(zhí)行漏洞��。例如�,4月份的Android補丁包括九個針對閉源組件中的關(guān)鍵漏洞的修復(fù)。其中之一是CVE-2021-35104(嚴重性評分為 9.8)-緩沖區(qū)溢出導(dǎo)致在播放FLAC音頻剪輯時不正確地解析標(biāo)題�。該漏洞影響了高通在過去幾年發(fā)布的幾乎所有產(chǎn)品系列中的芯片組。
如何保持安全
建議讓您的設(shè)備保持最新狀態(tài)��,在這種情況下���,至少得運行Android“2021年12月”或更高版本的補丁��。如果設(shè)備不再從供應(yīng)商處收到安全更新�����,則可以考慮安裝仍提供Android補丁的第三方Android發(fā)行版��。最后�����,當(dāng)接收來自未知或可疑來源/用戶的音頻文件時���,最好不要打開它們,因為它們可能會觸發(fā)漏洞���。
