Исследователи Check Point обнаружили, что многие Android-девайсы, работающие на чипсетах Qualcomm и MediaTek, уязвимы для удаленного выполнения кода из-за проблемы в аудиокодеках Apple Lossless Audio Codec (ALAC).
Apple Lossless Audio Codec (ALAC) был представлен Apple в 2004 году, а в 2011 году компания открыла его исходные коды. После этого многими другими производители устройств (помимо Apple) стали применять ALAC в своих продуктах. Интересно, что все эти годы Apple продолжала улучшать проприетарную версию своего кодека, а вот опенсорсная версия не обновлялась ни разу за все 11 лет.
Пока эксперты обнародовали не так много подробностей о фактическом использовании найденных ими уязвимостей, но обещали представить подробный доклад на конференции CanSecWest, которая состоится в мае 2022 года.
По данным Check Point, уязвимость позволяет удаленному злоумышленнику выполнить код на устройстве жертвы, отправив ей вредоносный аудиофайл и обманом вынудив пользователя открыть его. Исследователи назвали эту атаку ALHACK.
Баги в ALAC были исправлены MediaTek и Qualcomm еще в декабре 2021 года и отслеживаются под идентификаторами CVE-2021-0674 (5,5 балла по шкале CVSS), CVE-2021-0675 (7,8 балла по шкале CVSS) и CVE-2021-30351 (9,8 балла по шкале CVSS).
Корень проблемы заключается в том, что имплементация ALAC от Qualcomm и MediaTek страдает от out-of-bounds чтения и записи, а также из-за некорректной проверки аудиофреймов, передаваемых во время воспроизведения аудио. Помимо произвольного выполнения кода, о котором пишут эксперты, такие баги чреваты раскрытием информации и повышением привилегий без взаимодействия с пользователем.
«Воздействие уязвимости RCE может варьироваться от запуска вредоносного ПО до получения злоумышленником контроля над мультимедийными данными пользователя, включая стриминг с камеры скомпрометированного устройства. Кроме того, непривилегированное Android-приложение может использовать уязвимости для повышения своих привилегий и получения доступа к медиаданным и разговорам пользователей», — предупреждают специалисты в блоге.