ALHACK – az android eszközök kétharmadán
A biztonsági kutatók azonosítottak egy sérülékenységet, amely lehetővé tehette a hackerek számára, hogy több millió Android-eszközt irányítsanak, amelyek Qualcomm és MediaTek mobil chipjeit használják.
A sérülékenység az ALAC kódolásban van – az Apple Lossless Audio Codec rövidítése és Apple Lossless néven is ismert – ami az Apple által 2004-ben bevezetett formátum, amely veszteségmentes hangot biztosít az interneten keresztül. Míg az Apple az évek során frissítette a dekóder szabadalmazott verzióját, hogy kijavítsa a biztonsági réseket, a Qualcomm és a MediaTek által használt nyílt forráskódú verziót 2011 óta nem frissítették.
A Check Point egy kutatóra hivatkozik, aki szerint a 2021-ben eladott okostelefonok kétharmada ki van téve a támadásnak, hacsak nem frissítették.
A MediaTek a CVE-2021-0674 és CVE-2021-0675 sérülékenységeket kötötte az ALAC-hoz és már kijavították és közreadták a 2021. decemberi MediaTek Biztonsági Bulletinben. A Qualcomm a CVE-2021-30351 sérülékenység javítást kiadta a 2021. decemberi Qualcomm biztonsági közleményével. A gyártókon múlik, hogy a készülékekre mikor jut el a frissítés.