研究人员表示,音频编解码器中的缺陷使三分之二的智能手机面临窥探的风险
Posted 宛如清风
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了研究人员表示,音频编解码器中的缺陷使三分之二的智能手机面临窥探的风险相关的知识,希望对你有一定的参考价值。
由于苹果多年前开源的音频编解码器存在缺陷,导致数以百万计的android设备容易受到远程代码执行攻击。
Check Point的研究人员在Apple Lossless Audio Codec(ALAC)中发现了一个错误,这是Apple在2011年开源的音频压缩技术。在此之后,ALAC被嵌入到Android设备和程序中以进行音频播放。
正如Check Point研究人员所指出的那样,问题在于,虽然苹果更新并修补了其专有版本的ALAC,但ALAC的开源代码自2011年以来一直没有更新,并且它包含一个允许远程代码执行的重大缺陷。
远程攻击者可以通过向目标发送格式错误的音频文件来利用此漏洞,从而使攻击者能够在Android 设备上执行恶意软件。
研究人员说,该漏洞“可能导致攻击者远程访问其媒体和音频对话”。这些错误影响了使用联发科技和高通芯片的Android设备,这两者也都证实了这些缺陷。
高通公司在其12月的安全更新中修补了该错误,跟踪为CVE-2021-30351。联发科技也在12月的安全更新中解决了ALAC问题,跟踪为CVE-2021-0674和CVE-2021-0675。
高通公司将CVE-2021-30351评为“严重”评级,严重性得分为9.8分(满分10分)。高通公司在其公告中表示:“由于对音乐播放期间传递的帧数的验证不正确,可能会发生越界内存访问。”
联发科技将 CVE-2021-0675 评为“高”严重性特权提升错误,原因是“在 alac 解码器内存缓冲区的范围内操作限制不当”。据联发科技称,它影响了运行Android版本8.1,9.0,10.0和11.0的设备中使用的数十款联发科技芯片。
联发科技表示,CVE-2021-0674是一个“中等”严重等级,“可能导致本地信息泄露,无需额外的执行权限。同样,利用它不需要跟用户产生交互。”
有多少Android设备容易受到攻击取决于有多少人安装了固件更新,其中修复了缺陷。但这两家芯片制造商是在美国和世界各地销售的Android设备中使用的系统芯片背后的最大供应商。
Check Point估计,2021年销售的所有智能手机中有三分之二容易受到其所谓的“ALHACK”的影响。
谷歌确实在其2021年12月的更新中发布了高通漏洞和联发科技CVE-2021-0675的补丁。但是,每个Android手机制造商仍然要按照自己的节奏推出补丁。
Check Point计划在下个月的CanSecWest安全会议上透露有关这些漏洞的更多细节。(本文出自SCA安全通信联盟,转载请注明出处。)
以上是关于研究人员表示,音频编解码器中的缺陷使三分之二的智能手机面临窥探的风险的主要内容,如果未能解决你的问题,请参考以下文章
研究人员表示,音频编解码器中的缺陷使三分之二的智能手机面临窥探的风险