Обнаружена уязвимость в ALAC-декодировщиках большинства Android-устройств
Уязвимость уже была исправлена в декабре 2021 года, но злоумышленники могли получить доступ к данным пользователей.
Компания Check Point нашла уязвимость в ALAC-декодировщиках от MediaTek и Qualcomm — этому подвержено порядка двух третей Android-устройств.
Аудиокодек ALAC (Apple Lossless Audio Codec, аналог FLAC, сжатие без потерь) разработан корпорацией Apple, а производители чипсетов используют часть кода для создания собственных декодеров, включая ту, которая содержит уязвимости.
Злоумышленники могли воспользоваться брешью в безопасности для выполнения произвольного кода через аудиофайл. Данный вид атак (RCE) позволяет получить доступ к данным пользователя, захватить изображение с камеры и многое другое.
Check Point Research рассказала о найденном эксплойте производителям чипов MediaTek и Qualcomm, после чего компании устранили уязвимости и присвоим им свои номера. Для устройств с данными чипсетами обновления вышли в декабре 2021 года.