AppleLosslessAudioCodec(简称ALAC)是苹果公司于2004年推出的一种无损音频编解码技术。。在还没有开源的时候,ALAC主要用于苹果自己的iPod、iPhone、Mac等设备。现在开源的ALAC已经被很多厂商用在了非苹果设备上。虽然苹果开源了ALAC,但是在过去这么多年里,苹果只是改进了专有版本的编解码器,而开源版本在过去的11年里都没有更新过。众所周知,一个项目如果长期得不到维护,就会伴随着风险。网络安全公司CheckPoint的研究人员发现了开源ALAC中的一个严重漏洞,该漏洞可能允许攻击者对受影响的设备执行远程代码执行(RCE)攻击。联发科和高通这两家主要的移动芯片制造商在其音频编解码器中使用了该代码。据市场调研机构2021年Q4调查显示,联发科和高通是目前市场份额排名第一和第二的两家手机芯片厂商,合计市场份额已经超过60%。正因为如此,CheckPoint预计2021年售出的Android手机中有三分之二会受到该漏洞的影响(不包括较旧的Android机型)。根据IDC对2021年手机出货量的统计,2021年全球手机出货量为13.5亿部,剔除苹果后仍有11亿部。粗略计算,还将影响超过7亿部安卓手机(下图中的数量以“百万”为单位)。CheckPoint表示,这个名为ALHACK的漏洞将Android用户的隐私置于危险之中。这些漏洞可以由特制音频文件触发,从而导致远程代码执行。CheckPoint在博客文章中解释说,RCE漏洞的影响范围从执行恶意软件到攻击者获得对用户多媒体数据的控制权。此外,非特权Android应用程序可以利用这些漏洞来提升其特权,从而获得对媒体数据和用户会话的访问权限。联发科和高通已于2021年12月发布补丁修复该漏洞(高通将漏洞的严重程度评为9.8,满分为10)。据联发科称,该漏洞影响了运行Android8.1、9.0、10.0和11.0版本的设备中使用的数十种联发科芯片。熟悉安卓的用户都知道,安卓版本更新和安全修复严重碎片化。谷歌和芯片制造商无法直接推送这些更新。Android手机的更新通常是各个厂商的责任。谷歌自家的Pixel和三星的产品都是近几年才更新换代的。不过话又说回来了,高通和联发科作为目前市场上的两大移动芯片厂商,可谓是人才济济,但是他们所依赖的代码却没有贡献出来,貌似有没有严格审查相关代码。安全。本文转自OSCHINA文章标题:苹果开源技术让数亿安卓设备面临RCE风险
