Skip to main content
29 марта, 2024
$ 92.26
99.71

Уязвимость аудиокодера ALAC позволила хакерам шпионить за миллионами пользователей Android-смартфонов

22 апреля, 2022, 15:46

Уязвимости в аудиодекодерах чипов Qualcomm и MediaTek позволили хакерам удаленно получать доступ к медиаматериалам и аудиопереговорам владельцев Android-устройств.

© pixabay.com

В отчете израильской компании Check Point говорится, что выявленные проблемы в безопасности могут стать отправной точкой при запуске хакерских атак с удаленным выполнением кода (RCE). Для эксплуатации жертве отправляют специально созданный звуковой файл.

Степень эксплуатации «дыры» варьируется от запуска вредоносного ПО до получения доступа к мультимедийным файлам Android-пользователя. В ряде случаев киберпреступник может стримить с помощью камеры взломанного гаджета. Помимо этого, Android-приложение с низкими правами может использовать уязвимость для доступа к переговорам и персональным данным юзера.

По словам специалистов, проблема затрагивает формат Apple Lossless Audio Codec (ALAC), который был разработан «яблочной» компанией, а в 2011 году купертиновцы открыли его исходный код. С того момента разработчики, среди которых есть Qualcomm и MediaTek, использовали ALAC для своих аудиодекодеров. Выявленные баги получили следующие идентификаторы:

CVE-2021-0674 (5,5 балла по CVSS, MediaTek);

CVE-2021-0675 (7,8 балла по CVSS, MediaTek);

CVE-2021-30351 (9,8 балла по CVSS, Qualcomm).

Демонстрационный эксплойт, который был представлен специалистами из компании Check Point, как раз позволяет провести стрим с помощью камеры взломанного смартфона, работающего на операционной системе Android.

Ранее App Store и Google Play удалили приложения попавших под санкции российских банков. На днях это произошло со «Сбером». Эксперты разобрались, какие есть альтернативы для установки легального программного обеспечения на смартфон.



";