A Apple é indiretamente responsável por uma vulnerabilidade que afeta milhões de smartphones Android. Os pesquisadores de segurança nos postos de controle já fizeram isso Eu descobri Vulnerabilidade em uma versão de código aberto do ALAC Encryption Format, criado pela Apple em 2004 e disponível como uma versão de código aberto Desde 2011.
Embora a Apple atualize regularmente a versão do formato ALAC em seu software e sistemas operacionais, o código-fonte aberto não foi totalmente rastreado. Na verdade, ele não tem um patch desde… 2011. E isso é um problema sério, pois essas bibliotecas são encontradas em muitos dispositivos e aplicativos em plataformas diferentes da Apple.
Qualcomm e MediaTek, dois dos maiores fornecedores de chips móveis para smartphones Android, estão incorporando a versão de código aberto do ALAC em seus decodificadores de áudio, que são usados em mais da metade dos telefones em todo o mundo. Isso é para dispositivos que executam o Android 8.1, 9.0, 10.0 e 11.0.
A Checkpoint determinou que os fraudadores podem explorar uma vulnerabilidade no ALAC de código aberto para lançar ataques remotos em smartphones usando um arquivo de áudio malicioso. As consequências vão desde a instalação de malware até o controle de dados de mídia do dispositivo. Pode ir tão longe quanto ouvir conversas.
Seus descobridores apelidaram a vulnerabilidade de “ALHACK”. Após o conhecimento upstream conforme a regra exige, a Qualcomm e a MediaTek publicaram patches em dezembro passado (CVE-2021-30351 no primeiro, CVE-2021-0674 e CVE-2021-0675 no segundo), os fabricantes agora devem transmitir o mais rápido possível. no dispositivo deles, caso ainda não tenha feito isso. A Checkpoint fornecerá detalhes completos dessa vulnerabilidade durante a conferência CanSecWest em maio.
Essa história mostra, no entanto, que não basta abrir o código para a comunidade para garantir a segurança. Se ninguém fez a tarefa de atualizá-lo, depois de um tempo, as fraquezas que existiam aparecem em todos que o usam.
