Des millions d’appareils Android exposés par une faille de codec sans perte Apple non corrigée: chercheurs

<p> &lbrack;ad&lowbar;1&rsqb;<br &sol;>&NewLine;<&sol;p>&NewLine;<div>&NewLine;<p>Des failles de sécurité dans un codec audio ont été découvertes par des chercheurs en sécurité&comma; exposant des millions de téléphones Android et d’autres appareils Android alimentés par des chipsets de MediaTek et Qualcomm à risque d’être compromis par des pirates&period; Provenant d’un codec créé par Apple il y a plusieurs années&comma; les vulnérabilités n’ont pas été corrigées depuis que la société a ouvert le codec il y a 11 ans&comma; pour inclusion sur des appareils non Apple&period; En tirant parti des failles de sécurité&comma; un attaquant pourrait accéder à distance aux conversations multimédias et audio d’un téléphone Android&comma; selon les chercheurs&period;<&sol;p>&NewLine;<p>Selon un <a rel&equals;"nofollow noopener" href&equals;"https&colon;&sol;&sol;blog&period;checkpoint&period;com&sol;2022&sol;04&sol;21&sol;largest-mobile-chipset-manufacturers-used-vulnerable-audio-decoder-2-3-of-android-users-privacy-around-the-world-were-at-risk&sol;" target&equals;"&lowbar;blank">rapport<&sol;a> par des chercheurs de Check Point Research&comma; une faille dans le codec audio sans perte Apple &lpar;ALAC&rpar; d’Apple permet à un attaquant d’effectuer une attaque d’exécution de code à distance &lpar;RCE&rpar; sur un smartphone cible&comma; après avoir envoyé un fichier audio mal formé&period; Une attaque RCE peut permettre à l’attaquant de prendre le contrôle du multimédia sur le combiné&comma; y compris la diffusion vidéo en continu à partir des caméras&comma; l’accès aux médias et aux conversations des utilisateurs&period;<&sol;p>&NewLine;<p>Les failles de sécurité ont été découvertes dans le codec ALAC d’Apple&comma; qui a été open-source par la société en 2011 &&num;8211&semi; permettant aux appareils non Apple de diffuser de la musique en qualité « sans perte » en utilisant le codec précédemment propriétaire d’Apple&period; Cependant&comma; alors qu’Apple a corrigé la version propriétaire du codec ALAC&comma; la version open-source est restée non corrigée&comma; selon les chercheurs&period;<&sol;p>&NewLine;<p>En conséquence&comma; Qualcomm et MediaTek&comma; fabricants de chipsets qui ont porté le codec ALAC vulnérable sur leurs décodeurs audio&comma; ce qui a entraîné la vulnérabilité de plus des deux tiers de tous les smartphones vendus en 2021 aux failles de sécurité&comma; surnommés « ALHACK »&comma; selon les chercheurs&period; Les vulnérabilités ont été divulguées de manière responsable à Qualcomm et MediaTek&comma; qui ont tous deux reconnu les problèmes et attribué des vulnérabilités et des expositions communes &lpar;CVE&rpar; pour les failles&period; MediaTek affecté <a rel&equals;"nofollow noopener" href&equals;"https&colon;&sol;&sol;nvd&period;nist&period;gov&sol;vuln&sol;detail&sol;CVE-2021-0674" target&equals;"&lowbar;blank">CVE-2021-0674<&sol;a> et <a rel&equals;"nofollow noopener" href&equals;"https&colon;&sol;&sol;nvd&period;nist&period;gov&sol;vuln&sol;detail&sol;CVE-2021-0675" target&equals;"&lowbar;blank">CVE-2021-0675<&sol;a> &lpar;avec les notes « Moyen » et « Élevé »&comma; respectivement&rpar;&comma; tandis que Qualcomm a attribué <a rel&equals;"nofollow noopener" href&equals;"https&colon;&sol;&sol;nvd&period;nist&period;gov&sol;vuln&sol;detail&sol;CVE-2021-30351" target&equals;"&lowbar;blank">CVE-2021-30351<&sol;a> &lpar;avec une note « Critique » de 9&comma;8 sur 10&rpar; pour les failles ALAC&comma; avant de les corriger&period;<&sol;p>&NewLine;<p>Selon les chercheurs&comma; les deux sociétés ont publié des correctifs pour les failles incluses dans le <a rel&equals;"nofollow noopener" href&equals;"https&colon;&sol;&sol;source&period;android&period;com&sol;security&sol;bulletin&sol;2021-12-01" target&equals;"&lowbar;blank">Décembre 2021<&sol;a> Bulletin de sécurité Android&comma; ce qui signifie que les utilisateurs de smartphones ayant reçu les correctifs de sécurité de décembre doivent être à l’abri des vulnérabilités&period; Cependant&comma; cela laisse de côté des millions d’utilisateurs exécutant des logiciels obsolètes ou des utilisateurs qui reçoivent des mises à jour de sécurité erratiques&comma; ce qui les expose au risque d’être compromis par des attaquants&period;<&sol;p>&NewLine;<hr &sol;>&NewLine;<&sol;div>&NewLine;<p>&lbrack;ad&lowbar;2&rsqb;<br &sol;>&NewLine;<br &sol;><a href&equals;"https&colon;&sol;&sol;gadgets360&period;com&sol;mobiles&sol;news&sol;android-security-flaw-alac-mediatek-qualcomm-vulnerability-apple-lossless-audio-codec-check-point-research-2911475&num;rss-gadgets-all">Source link <&sol;a><&sol;p>&NewLine;