ALAC音频格式存漏洞,全球超半数 Android 用户隐私受威胁

admin 2022年4月25日02:31:12安全闲碎评论22 views661字阅读2分12秒阅读模式

4月21日,Check Point在其官方博客披露,研究人员在去年发现了 ALAC 格式的漏洞,这些漏洞可能导致攻击者远程访问目标设备中的媒体和音频对话。

ALAC音频格式存漏洞,全球超半数 Android 用户隐私受威胁

ALAC是苹果公司2004年开发的一种无损音频格式,并于2011年正式开源。Check Point 发现,全球最大的两家移动芯片组制造商——高通和联发科都将易受攻击的 ALAC 代码移植到其音频解码器中,全球一半以上的智能手机都在使用这些解码器。

研究人员发现,该漏洞会让攻击者利用格式错误的音频文件,在目标设备上执行远程代码执行攻击 (RCE),并可进一步控制用户的多媒体数据,包括利用设备的摄像头拍摄音视频。此外,该漏洞允许特定安卓应用提权,并获得对媒体数据和用户对话的访问权。

Check Point已向联发科和高通共享了调查结果,协助处理漏洞问题。联发科将 ALAC 漏洞跟踪为 CVE-2021-0674 和 CVE-2021-0675,而高通将其跟踪为 CVE-2021-30351。这些漏洞已在2021年12月得到了修复。

CheckPoint 的研究人员没有透露该漏洞的更多细节以避免在野外被利用,但他们计划在 2022 年 5 月即将举行的 CanSecWest 公布更加详细的信息。

参考来源

https://securityaffairs.co/wordpress/130459/hacking/critical-bug-popular-chipsets-android-hack.html

ALAC音频格式存漏洞,全球超半数 Android 用户隐私受威胁



精彩推荐






ALAC音频格式存漏洞,全球超半数 Android 用户隐私受威胁

ALAC音频格式存漏洞,全球超半数 Android 用户隐私受威胁
ALAC音频格式存漏洞,全球超半数 Android 用户隐私受威胁
ALAC音频格式存漏洞,全球超半数 Android 用户隐私受威胁

原文始发于微信公众号(FreeBuf):ALAC音频格式存漏洞,全球超半数 Android 用户隐私受威胁

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月25日02:31:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  ALAC音频格式存漏洞,全球超半数 Android 用户隐私受威胁 http://cn-sec.com/archives/936869.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: