Android中的嚴(yán)重bug可導(dǎo)致用戶(hù)媒體文件被訪(fǎng)問(wèn)
2022年04月23日
近期,安全分析師發(fā)現(xiàn)�����,由于A(yíng)pple無(wú)損音頻編解碼器(ALAC)的實(shí)施存在缺陷��,在高通和聯(lián)發(fā)科芯片組上運(yùn)行的Android設(shè)備容易受到遠(yuǎn)程代碼執(zhí)行的影響。
ALAC是一種用于無(wú)損音頻壓縮的音頻編碼格式����,Apple于2011年開(kāi)源。從那時(shí)起�,該公司一直在發(fā)布該格式的更新,包括安全修復(fù)程序�����,但并非每個(gè)使用該編解碼器的第三方供應(yīng)商都應(yīng)用這些修復(fù)程序����。根據(jù)Check Point Research的一份報(bào)告,這包括全球最大的兩家智能手機(jī)芯片制造商高通和聯(lián)發(fā)科���。
雖然分析師尚未提供有關(guān)實(shí)際利用這些漏洞的許多細(xì)節(jié)��,但承諾會(huì)在2022 年 5月即將舉行的CanSecWest上提供更多詳細(xì)信息��。從目前可用的詳細(xì)信息來(lái)看�,該漏洞使遠(yuǎn)程攻擊者能夠通過(guò)發(fā)送惡意制作的音頻文件并誘使用戶(hù)打開(kāi)它來(lái)在目標(biāo)設(shè)備上執(zhí)行代碼����。研究人員稱(chēng)這種攻擊為“ALHACK”�����。而遠(yuǎn)程代碼執(zhí)行攻擊會(huì)帶來(lái)嚴(yán)重的影響���,包括數(shù)據(jù)泄露����、植入和執(zhí)行惡意軟件、修改設(shè)備設(shè)置�、訪(fǎng)問(wèn)麥克風(fēng)和攝像頭等硬件組件或帳戶(hù)接管。
聯(lián)發(fā)科和高通公司于2021年12月修復(fù)了ALAC漏洞�,該漏洞編號(hào)為CVE-2021-0674(中等嚴(yán)重性,得分 5.5)��、CVE-2021-0675(高嚴(yán)重性�,得分 7.8)和CVE-2021- 30351(嚴(yán)重程度為 9.8 分)。根據(jù)研究人員的分析����,高通和聯(lián)發(fā)科的ALAC解碼器實(shí)現(xiàn)可能存在越界讀寫(xiě),以及對(duì)音樂(lè)播放期間傳遞的音頻幀的不正確驗(yàn)證�,而這樣可能造成用戶(hù)信息泄露的后果。
BleepingComputer 要求高通就當(dāng)前客戶(hù)面臨的風(fēng)險(xiǎn)發(fā)表評(píng)論�����。公司發(fā)言人提供了以下聲明:
提供支持強(qiáng)大安全和隱私的技術(shù)是高通的首要任務(wù)。我們贊揚(yáng) Check Point Technologies 的安全研究人員使用行業(yè)標(biāo)準(zhǔn)的協(xié)調(diào)披露做法�����。關(guān)于他們披露的 ALAC 音頻解碼器問(wèn)題���,高通于2021 年 10月向設(shè)備制造商提供了補(bǔ)丁�����。我們鼓勵(lì)最終用戶(hù)在安全更新可用時(shí)更新他們的設(shè)備���。
音頻編解碼器漏洞案例
幾乎每個(gè)月的Android安全更新中都會(huì)修復(fù)閉源音頻處理單元中的遠(yuǎn)程代碼執(zhí)行漏洞。例如���,4月份的Android補(bǔ)丁包括九個(gè)針對(duì)閉源組件中的關(guān)鍵漏洞的修復(fù)����。其中之一是CVE-2021-35104(嚴(yán)重性評(píng)分為 9.8)-緩沖區(qū)溢出導(dǎo)致在播放FLAC音頻剪輯時(shí)不正確地解析標(biāo)題���。該漏洞影響了高通在過(guò)去幾年發(fā)布的幾乎所有產(chǎn)品系列中的芯片組����。
如何保持安全
建議讓您的設(shè)備保持最新?tīng)顟B(tài),在這種情況下�,至少得運(yùn)行Android“2021年12月”或更高版本的補(bǔ)丁。如果設(shè)備不再?gòu)墓?yīng)商處收到安全更新����,則可以考慮安裝仍提供Android補(bǔ)丁的第三方Android發(fā)行版�����。最后��,當(dāng)接收來(lái)自未知或可疑來(lái)源/用戶(hù)的音頻文件時(shí)��,最好不要打開(kāi)它們�����,因?yàn)樗鼈兛赡軙?huì)觸發(fā)漏洞���。
