由于苹果多年前开源的音频编解码器存在缺陷，导致数以百万计的Android设备容易受到远程代码执行攻击。

Check Point的研究人员在Apple Lossless Audio Codec（ALAC）中发现了一个错误，这是Apple在2011年开源的音频压缩技术。在此之后，ALAC被嵌入到Android设备和程序中以进行音频播放。

正如Check Point研究人员所指出的那样，问题在于，虽然苹果更新并修补了其专有版本的ALAC，但ALAC的开源代码自2011年以来一直没有更新，并且它包含一个允许远程代码执行的重大缺陷。

远程攻击者可以通过向目标发送格式错误的音频文件来利用此漏洞，从而使攻击者能够在Android 设备上执行恶意软件。

研究人员说，该漏洞“可能导致攻击者远程访问其媒体和音频对话”。这些错误影响了使用联发科技和高通芯片的Android设备，这两者也都证实了这些缺陷。

高通公司在其12月的安全更新中修补了该错误，跟踪为CVE-2021-30351。联发科技也在12月的安全更新中解决了ALAC问题，跟踪为CVE-2021-0674和CVE-2021-0675。

高通公司将CVE-2021-30351评为“严重”评级，严重性得分为9.8分（满分10分）。高通公司在其公告中表示:“由于对音乐播放期间传递的帧数的验证不正确，可能会发生越界内存访问。”

联发科技将 CVE-2021-0675 评为“高”严重性特权提升错误，原因是“在 alac 解码器内存缓冲区的范围内操作限制不当”。据联发科技称，它影响了运行Android版本8.1，9.0，10.0和11.0的设备中使用的数十款联发科技芯片。

联发科技表示，CVE-2021-0674是一个“中等”严重等级，“可能导致本地信息泄露，无需额外的执行权限。同样，利用它不需要跟用户产生交互。”

有多少Android设备容易受到攻击取决于有多少人安装了固件更新，其中修复了缺陷。但这两家芯片制造商是在美国和世界各地销售的Android设备中使用的系统芯片背后的最大供应商。

Check Point估计，2021年销售的所有智能手机中有三分之二容易受到其所谓的“ALHACK”的影响。

谷歌确实在其2021年12月的更新中发布了高通漏洞和联发科技CVE-2021-0675的补丁。但是，每个Android手机制造商仍然要按照自己的节奏推出补丁。

Check Point计划在下个月的CanSecWest安全会议上透露有关这些漏洞的更多细节。（本文出自SCA安全通信联盟，转载请注明出处。）