安全研究人员发现了音频编解码器中的安全漏洞，使数百万部由联发科和高通芯片组驱动的 Android 手机和其他 Android 设备面临被黑客入侵的风险。源于几年前 Apple 创建的编解码器，自 11 年前该公司将编解码器开源以包含在非 Apple 设备上以来，这些漏洞一直未修补。研究人员称，通过利用安全漏洞，攻击者可以远程访问 Android 手机的媒体和音频对话。

根据Check Point Research 研究人员的一份报告，Apple 的 Apple 无损音频编解码器 (ALAC) 中的一个缺陷允许攻击者在发送格式错误的音频文件后对目标智能手机执行远程代码执行 (RCE) 攻击。RCE 攻击可以让攻击者控制手机上的多媒体，包括来自摄像头的流式视频、访问媒体和用户对话。

安全漏洞是在 Apple 的 ALAC 编解码器中发现的，该编解码器于 2011 年由该公司开源——允许非 Apple 设备使用 Apple 先前专有的编解码器以“无损”质量流式传输音乐。然而，研究人员表示，虽然苹果公司修补了 ALAC 编解码器的专有版本，但开源版本仍未修补。

研究人员称，因此，高通和联发科这两家芯片组制造商将易受攻击的 ALAC 编解码器移植到其音频解码器中，导致 2021 年售出的所有智能手机中，有三分之二以上容易受到安全漏洞的影响，称为“ALHACK”。这些漏洞被负责任地披露给了高通和联发科，他们都承认了这些问题并为这些漏洞分配了通用漏洞和暴露 (CVE)。联发科将CVE-2021-0674和CVE-2021-0675(分别为“中”和“高”等级)分配给CVE-2021-30351(在 10 分中为 9.8 分) ALAC 缺陷，在修补它们之前。

免责声明： 本文由用户上传，如有侵权请联系删除！

标签：