Vulnérabilité découverte dans le codec Apple utilisé par les smartphones Android
Il s’agit du codec ALAC (Apple Lossless Audio Codec, également connu sous le nom d’Apple Lossless ou Apple Lossless Encoder) développé par Apple en 2004. En 2011, le logiciel est passé à un modèle open source et est largement utilisé dans les smartphones Android – y compris les modèles avec MediaTek et les puces Qualcomm, qui couvrent environ les 2/3 du marché. Le problème est qu’il n’a pas été corrigé depuis 2011.
Des chercheurs de Check Point Research ont découvert une vulnérabilité dans le codec ALAC qui permet l’exécution de code à distance sur un appareil vulnérable – une méthode qui permettait à un attaquant de capturer les fonctions multimédia d’un smartphone (y compris la lecture d’enregistrements et la transmission d’images à partir d’une caméra).
Cependant, les problèmes ne s’arrêtent pas là ! Il s’avère que la vulnérabilité a permis aux applications d’élever leurs droits et d’accéder aux fichiers multimédias et aux conversations des utilisateurs.
Pour l’instant, il convient d’assurer à tous que la faille de sécurité ne constitue plus une menace pour les utilisateurs de smartphones. Check Point Research a fourni des informations sur la vulnérabilité à MediaTek et Qualcomm, qui ont publié les correctifs pertinents et publié les informations pertinentes dans des bulletins de sécurité (CVE-2021-0674 et CVE-2021-0675 pour MediaTek et CVE-2021-30351 pour Qualcomm).
La vulnérabilité du codec ALAC est un exemple de la façon dont les logiciels inutilisés peuvent être potentiellement dangereux pour les utilisateurs. Personne n’a peut-être besoin d’être convaincu de l’importance des correctifs système pour aider à protéger l’équipement contre les attaques des cybercriminels.
Source : recherche Check Point.
Laisser un commentaire