Критическая уязвимость может позволить хакерам завладеть миллионами устройств на Android

Уязвимостью можно воспользоваться с помощью вредоносного аудиофайла

Исследователи безопасности заявили, что обнаружили уязвимость, которая могла позволить хакерам завладеть миллионами устройств Android, оснащенных мобильными чипсетами Qualcomm и MediaTek. Эти два производителя поставляют мобильные чипсеты примерно для 95 процентов устройств на Android. Уязвимость заключалась в формате ALAC (также известном как Apple Lossless), который представляет собой аудиоформат, представленный Apple в 2004 году для передачи звука без потерь через Интернет. В то время как Apple годами обновляла свою проприетарную версию декодера для устранения уязвимостей в системе безопасности, версия с открытым исходным кодом, используемая Qualcomm и MediaTek, не обновлялась с 2011 года.

Код ALAC содержал содержал уязвимость "вне границ", то есть он извлекал данные из-за пределов выделенной памяти. Хакеры могли использовать эту уязвимость, чтобы заставить декодер выполнить вредоносный код, который в противном случае был бы запрещен. «Проблемы с ALAC, обнаруженные нашими исследователями, могут быть использованы злоумышленником для атаки удаленного выполнения кода (RCE) на мобильном устройстве через искаженный аудиофайл», - заявили представители израильской компании, занимающейся IT-безопасностью, Check Point Software Technologies Ltd. «Атаки RCE позволяют злоумышленнику удаленно выполнять вредоносный код на компьютере. Последствия уязвимости RCE могут варьироваться от выполнения вредоносного ПО до получения злоумышленником контроля над мультимедийными данными пользователя, включая потоковую передачу с камеры скомпрометированного компьютера.» По мнению представителей Check Point уявимость имеют две трети всех смартфонов, проданных в 2021 году, если они, конечно, до этого не получили соответствующий патч.

Производители знают об уязвимости ALAC, отслеживаемая Qualcomm как CVE—2021-30351, а MediaTek - как CVE-2021-0674 и CVE-2021-0675. Она может быть использована непривилегированным приложением для Android для повышения системных привилегий в отношении мультимедийных данных и микрофона устройства, что повышает вероятность подслушивания разговоров и других звуков поблизости от устройства.

В прошлом году и Qualcomm и MediaTek представили в прошлом году исправления чипсета, которые были переданы Google (как производителю системы Android), так и производителям устройств. Пользователи смартфонов на Android, которые хотят знать, исправлено ли их устройство, могут проверить уровень исправления безопасности в настройках операционной системы. Если обновление безопасности датировано декабрём 2021 года или 2022 годом, устройство больше не уязвимо. Однако многие телефоны не получают исправлений безопасности на регулярной основе, если вообще получают, и телефоны с обновлением безопасности, сделанным до декабря 2021 года, по-прежнему остаются уязвимыми.

Уязвимость ставит под сомнение надежность кода с открытым исходным кодом, который используют Qualcomm и MediaTek, и их методы поддержания его безопасности. Если Apple может обновлять свою проприетарную кодовую базу ALAC на протяжении многих лет для исправления уязвимостей, то два гиганта чипсетов не последовали их примеру, что не может не вызывать беспокойства у пользователей. Появление данной уязвимости также поднимает вопрос о том, какие другие библиотеки с открытым исходным кодом, используемые производителями микросхем, могут оказаться такими же устаревшими.