Trzy luki w zabezpieczeniach zostały ujawnione w dekoderach audio układów Qualcomm i MediaTek, które, jeśli nie zostaną rozwiązane, mogą umożliwić przeciwnikowi zdalne uzyskanie dostępu do mediów i rozmów audio z dotkniętych urządzeń mobilnych.
Według izraelskiej firmy Check Point zajmującej się cyberbezpieczeństwem , problemy mogą zostać wykorzystane jako platforma do przeprowadzania ataków polegających na zdalnym wykonywaniu kodu (RCE), po prostu wysyłając specjalnie spreparowany plik audio.
„Wpływ luki w zabezpieczeniach RCE może obejmować wykonanie złośliwego oprogramowania lub uzyskanie przez atakującego kontroli nad danymi multimedialnymi użytkownika, w tym przesyłanie strumieniowe z kamery zaatakowanej maszyny”
„Ponadto nieuprzywilejowana aplikacja na Androida może wykorzystać te luki do eskalacji swoich uprawnień i uzyskania dostępu do danych multimedialnych i rozmów użytkowników”.
Luki są zakorzenione w formacie kodowania audio pierwotnie opracowanym i udostępnionym przez Apple w 2011 roku. Nazywany Apple Lossless Audio Codec ( ALAC ) lub Apple Lossless, format kodeka audio jest używany do bezstratnej kompresji danych muzyki cyfrowej.
Od tego czasu kilku dostawców zewnętrznych, w tym Qualcomm i MediaTek, uwzględniło implementację referencyjnego kodeka audio dostarczoną przez Apple jako podstawę własnych dekoderów audio.
I chociaż Apple konsekwentnie łata i naprawia luki w zabezpieczeniach swojej zastrzeżonej wersji ALAC, wariant kodeka o otwartym kodzie źródłowym nie otrzymał ani jednej aktualizacji od czasu, gdy został przesłany na GitHub 11 lat temu, 27 października 2011 r.
Luki wykryte przez Check Point dotyczą tego przeniesionego kodu ALAC, z których dwie zostały zidentyfikowane w procesorach MediaTek , a jedna w chipsetach Qualcomm –
- CVE-2021-0674 (wynik CVSS: 5,5, MediaTek) — przypadek nieprawidłowej weryfikacji danych wejściowych w dekoderze ALAC prowadzący do ujawnienia informacji bez interakcji użytkownika
- CVE-2021-0675 (wynik CVSS: 7,8, MediaTek) — usterka lokalnej eskalacji uprawnień w dekoderze ALAC wynikająca z zapisu poza granicami
- CVE-2021-30351 (wynik CVSS: 9,8, Qualcomm) — dostęp do pamięci zewnętrznej z powodu nieprawidłowej weryfikacji liczby klatek przesyłanych podczas odtwarzania muzyki
W exploitie typu „proof-of-concept” opracowanym przez Check Point, luki umożliwiły „kradzież strumienia kamery telefonu” – powiedział badacz bezpieczeństwa Slava Makkaveev, któremu przypisuje się odkrycie błędów wraz z Netanelem Ben Simonem.
Po odpowiedzialnym ujawnieniu wszystkie trzy luki zostały zamknięte przez odpowiednich producentów chipsetów w grudniu 2021 r.
„Luki można było łatwo wykorzystać” – wyjaśnił Makkaveev. „Haker mógł wysłać piosenkę (plik multimedialny), a odtwarzany przez potencjalną ofiarę mógł wstrzyknąć kod w uprzywilejowanej usłudze medialnej. Haker mógł zobaczyć, co użytkownik telefonu komórkowego widzi na swoim telefonie”.
