check point的威胁情报部门check point research于高通和联发科的音频解码器(audio decoder)中发现漏洞。此漏洞是基于一个apple 11年前开源的程序代码;若未及时修补,攻击者将能够远程访问媒体和对话音频,或通过恶意远程程序代码执行(rce)威胁全球三分之二的移动设备。
apple开发的保真压缩音频编解码器(alac)是一种音频编码格式,于2004年首次推出,用于数字音乐的保真音频压缩,并于2011年底开源。alac格式自此被应用于许多非apple音频播放设备和程序中,包括android智能手机、linux和windows媒体播放器及转换器。此后apple多次更新并修补其私有版本的解码器,但开源版本自2011年以来就未再更新;check point research团队发现,高通和联发科都在其音频解码器中采用了含有安全漏洞的alac。
此漏洞可能被攻击者用于远程程序代码执行,通过异常音频档对移动设备发起攻击;此类型漏洞影响层面广,包含恶意软件执行和攻击者能成功控制用户的多媒体资料,例如能流媒体受攻击设备的摄影画面等。此外,权限较低的android应用程序可利用这些漏洞提升权限,并访问用户的媒体资料和对话记录。
check point research逆向工程和安全研究部slava makkaveev指出:“这组漏洞能让攻击者在全球三分之二的移动设备上远程执行及提升权限,且这些漏洞很容易被利用,受害者只要播放攻击者发送的一首歌曲(媒体文件),恶意程序代码便能成功注入权限较高的媒体服务中。攻击者将能看到用户在手机上查找的资讯;而在check point research的概念验证(poc)中,我们也证实能够直接流媒体受害手机的摄影画面。手机中最敏感资讯是包含音频及视频等的媒体服务,而攻击者竟能通过此漏洞成功窃取这些资讯,其中易受攻击的解码器正是源自于apple 11年前开源的程序代码。”
check point research已向联发科和高通披露相关资讯,并与这两家厂商密切合作,确保这些漏洞得以尽快修复。联发科将漏洞命名为cve-2021-0674和cve-2021-0675,目前这些漏洞已修复,并发布在2021年12月联发科产品安全布告栏中;高通则在2021年12月高通安全布告栏中发布了cve-2021-30351的修补程序。check point software建议用户可依循google每月发布的安全性公告更新手机。