English
 
查看详细details
您当前所在位置:首页 奥航智讯 行业最新动态 查看详细
行业最新动态 会员企业动态 GDPR
研究人员表示,音频编解码器中的缺陷使三分之二的智能手机面临窥探的风险
文章来源:奥航智讯  作者:网喵  发布时间:2022-04-27  浏览次数:777



由于苹果多年前开源的音频编解码器存在缺陷,导致数以百万计的Android设备容易受到远程代码执行攻击。

Check Point的研究人员在Apple Lossless Audio Codec(ALAC)中发现了一个错误,这是Apple在2011年开源的音频压缩技术。在此之后,ALAC被嵌入到Android设备和程序中以进行音频播放。

正如Check Point研究人员所指出的那样,问题在于,虽然苹果更新并修补了其专有版本的ALAC,但ALAC的开源代码自2011年以来一直没有更新,并且它包含一个允许远程代码执行的重大缺陷。

远程攻击者可以通过向目标发送格式错误的音频文件来利用此漏洞,从而使攻击者能够在Android 设备上执行恶意软件。

研究人员说,该漏洞“可能导致攻击者远程访问其媒体和音频对话”。这些错误影响了使用联发科技和高通芯片的Android设备,这两者也都证实了这些缺陷。

高通公司在其12月的安全更新中修补了该错误,跟踪为CVE-2021-30351。联发科技也在12月的安全更新中解决了ALAC问题,跟踪为CVE-2021-0674和CVE-2021-0675。

高通公司将CVE-2021-30351评为“严重”评级,严重性得分为9.8分(满分10分)。高通公司在其公告中表示:“由于对音乐播放期间传递的帧数的验证不正确,可能会发生越界内存访问。”

联发科技将 CVE-2021-0675 评为“高”严重性特权提升错误,原因是“在 alac 解码器内存缓冲区的范围内操作限制不当”。据联发科技称,它影响了运行Android版本8.1,9.0,10.0和11.0的设备中使用的数十款联发科技芯片。

联发科技表示,CVE-2021-0674是一个“中等”严重等级,“可能导致本地信息泄露,无需额外的执行权限。同样,利用它不需要跟用户产生交互。”

有多少Android设备容易受到攻击取决于有多少人安装了固件更新,其中修复了缺陷。但这两家芯片制造商是在美国和世界各地销售的Android设备中使用的系统芯片背后的最大供应商。

Check Point估计,2021年销售的所有智能手机中有三分之二容易受到其所谓的“ALHACK”的影响。

谷歌确实在其2021年12月的更新中发布了高通漏洞和联发科技CVE-2021-0675的补丁。但是,每个Android手机制造商仍然要按照自己的节奏推出补丁。

Check Point计划在下个月的CanSecWest安全会议上透露有关这些漏洞的更多细节。(本文出自SCA安全通信联盟,转载请注明出处。)



 
奥航智讯官方微信
联系我们 | CONTACT US
  • 公司地址:上海市浦东新区 周康路26号 周浦万达E栋1016室
  • 联系电话:021-51099961
  • 企业邮箱:contact@smart-alliance.com
  • W  E  B  :  www.smart-alliance.com
在线留言 | FEEDBACK
Copyright 2012-2024 SC Alliance, All Rights Reserved        沪ICP备14020833号-1        上海奥航智能科技有限公司