最近,安全分析师发现运行在高通和联发科芯片组上的Android设备容易受到远程代码执行的影响。ALAC是一种用于无损音频压缩的音频编码格式,由Apple于2011年开源。从那时起,该公司一直在发布该格式的更新,包括安全修复程序,但并非所有使用该编解码器的第三方供应商都应用了这些修复程序.根据CheckPointResearch的一份报告,其中包括全球最大的两家智能手机芯片制造商高通和联发科。虽然分析师尚未提供有关实际利用这些漏洞的许多细节,但在2022年5月即将举行的CanSecWest上承诺会提供更多细节。从目前可用的细节来看,该漏洞可能使远程攻击者能够通过以下方式在目标设备上执行代码发送恶意制作的音频文件并诱使用户打开它。研究人员将这次攻击称为“ALHACK”。另一方面,远程代码执行攻击可能会产生严重的影响,包括数据泄露、植入和执行恶意软件、修改设备设置、访问麦克风和摄像头等硬件组件或帐户接管。联发科和高通于2021年12月修补了ALAC漏洞,跟踪为CVE-2021-0674(中等严重性,得分5.5)、CVE-2021-0675(高严重性,得分7.8)和CVE-2021-30351(严重性得分9.8).据研究人员分析,高通和联发科的ALAC解码器实现可能存在越界读写,以及音乐播放时传递的音频帧校验不正确,可能导致用户信息泄露。BleepingComputer要求高通就当前给客户带来的风险发表评论。公司发言人提供了以下声明:提供支持强大安全和隐私的技术是高通的首要任务。我们赞扬CheckPointTechnologies的安全研究人员使用行业标准的协调披露实践。关于他们披露的ALAC音频编解码器问题,高通在2021年10月向设备制造商提供了补丁。我们鼓励最终用户在安全更新可用时更新他们的设备。音频编解码器漏洞案例闭源音频处理单元中的远程代码执行漏洞几乎在每个月的Android安全更新中得到修复。例如,4月的Android补丁包括九个针对闭源组件中关键漏洞的修复程序。其中之一是CVE-2021-35104(严重性评分9.8)-缓冲区溢出导致播放FLAC音频剪辑时标题解析不正确。该缺陷影响了高通在过去几年发布的几乎所有产品系列中的芯片组。如何保持安全建议让您的设备保持最新状态,在这种情况下,至少运行Android“2021年12月”补丁或更高版本。如果设备不再从供应商处接收安全更新,您可以考虑安装仍然提供Android补丁的第三方Android发行版。最后,当收到来自未知或可疑来源/用户的音频文件时,最好不要打开它们,因为它们可能会触发漏洞。参考来源:https://www.bleepingcomputer.com/news/security/critical-bug-in-android-could-allow-access-to-users-media-files/
