Des millions d’appareils Android exposés par une faille de codec sans perte Apple non corrigée: chercheurs

Des failles de sécurité dans un codec audio ont été découvertes par des chercheurs en sécurité, exposant des millions de téléphones Android et d’autres appareils Android alimentés par des chipsets de MediaTek et Qualcomm à risque d’être compromis par des pirates. Provenant d’un codec créé par Apple il y a plusieurs années, les vulnérabilités n’ont pas été corrigées depuis que la société a ouvert le codec il y a 11 ans, pour inclusion sur des appareils non Apple. En tirant parti des failles de sécurité, un attaquant pourrait accéder à distance aux conversations multimédias et audio d’un téléphone Android, selon les chercheurs.

Selon un rapport par des chercheurs de Check Point Research, une faille dans le codec audio sans perte Apple (ALAC) d’Apple permet à un attaquant d’effectuer une attaque d’exécution de code à distance (RCE) sur un smartphone cible, après avoir envoyé un fichier audio mal formé. Une attaque RCE peut permettre à l’attaquant de prendre le contrôle du multimédia sur le combiné, y compris la diffusion vidéo en continu à partir des caméras, l’accès aux médias et aux conversations des utilisateurs.

Les failles de sécurité ont été découvertes dans le codec ALAC d’Apple, qui a été open-source par la société en 2011 – permettant aux appareils non Apple de diffuser de la musique en qualité « sans perte » en utilisant le codec précédemment propriétaire d’Apple. Cependant, alors qu’Apple a corrigé la version propriétaire du codec ALAC, la version open-source est restée non corrigée, selon les chercheurs.

En conséquence, Qualcomm et MediaTek, fabricants de chipsets qui ont porté le codec ALAC vulnérable sur leurs décodeurs audio, ce qui a entraîné la vulnérabilité de plus des deux tiers de tous les smartphones vendus en 2021 aux failles de sécurité, surnommés « ALHACK », selon les chercheurs. Les vulnérabilités ont été divulguées de manière responsable à Qualcomm et MediaTek, qui ont tous deux reconnu les problèmes et attribué des vulnérabilités et des expositions communes (CVE) pour les failles. MediaTek affecté CVE-2021-0674 et CVE-2021-0675 (avec les notes « Moyen » et « Élevé », respectivement), tandis que Qualcomm a attribué CVE-2021-30351 (avec une note « Critique » de 9,8 sur 10) pour les failles ALAC, avant de les corriger.

Selon les chercheurs, les deux sociétés ont publié des correctifs pour les failles incluses dans le Décembre 2021 Bulletin de sécurité Android, ce qui signifie que les utilisateurs de smartphones ayant reçu les correctifs de sécurité de décembre doivent être à l’abri des vulnérabilités. Cependant, cela laisse de côté des millions d’utilisateurs exécutant des logiciels obsolètes ou des utilisateurs qui reçoivent des mises à jour de sécurité erratiques, ce qui les expose au risque d’être compromis par des attaquants.