站长之家用户 - 传媒 2022-04-26 10:22

Check Point发现音频解码器漏洞,全球三分之二安卓用户面临风险

Check Point Research (CPR) 在两家最大的移动芯片制造商 - 高通和联发科的音频解码器中发现了漏洞。如果不进行修复,上述漏洞可能导致攻击者趁机远程访问受攻击者的媒体和音频对话。CPR 估计,如不及时修复,全球三分之二的手机将会受到波及。

攻击者可能利用漏洞通过格式错误的音频文件对移动设备发起远程代码执行攻击 (RCE);

RCE 漏洞的影响后果很广,从恶意软件执行到攻击者获得对用户多媒体数据的控制等不一而足,包括从受攻击机器的摄像头进行流传输;

此外,非特权 Android 应用可以使用这些漏洞来升级其权限,获得媒体数据和用户对话的访问权限;

CPR 负责任地向高通和联发科披露了调查结果,这两家公司随后发布了修复程序。

近日,Check Point Research (CPR) 发现了一组安全漏洞,它们可用于在全球三分之二的移动设备上实施恶意远程代码执行。这些漏洞影响了搭载联发科和高通(两家最大的移动芯片组制造商)芯片的 Android 智能手机。 

漏洞源自联发科和高通音频解码器 

经Check Point安全专家研究发现,上述漏洞均发生于于 Apple 无损音频编解码器 (ALAC),也称为 Apple 无损。ALAC 是一种由 Apple Inc.开发的音频编码格式,于 2004 年首次推出,用于数字音乐的无损数据压缩。2011 年底,Apple 将编解码器开源。自此,ALAC 格式被嵌入到许多非 Apple 音频播放设备和程序中,包括 Android 智能手机、Linux 和 Windows 媒体播放器及转换器。此后,Apple 多次更新了解码器的专有版本,修复并修补安全漏洞,但自 2011 年以来,共享代码一直未修补。CPR 发现,高通和联发科将易受攻击的 ALAC 代码移植到其音频解码器中。 

信息披露

Check Point Research 已负责任地向联发科和高通披露了相关信息,并与这两家厂商密切合作,确保这些漏洞得以尽快修复。联发科将漏洞命名为  CVE-2021-0674 和 CVE-2021-0675。目前这些漏洞已修复,并发布在 联发科安全公告中。高通也在其安全公告中发布了 CVE-2021-30351 的补丁。CPR 为用户提供了补丁应用时间。  

安全建议

Check Point Research 反向工程和安全研究事业部 Slava Makkaveev表示:“我们于 21 年底发现了一组漏洞,它们可用于在全球三分之二的移动设备上实施远程执行并进行权限升级。这些漏洞很容易被利用。黑客可能发送一首歌曲(或媒体文件)实施攻击,当潜在受害者播放时,它便会将代码注入特权媒体服务中。攻击者可以看到手机用户在其手机上查看的信息。在我们的验证中,通过这种方法能够窃取手机的摄像头视频流。近年来随着手机功能不断强大,我们认为用户手机中最敏感的信息就是包括音频和视频在内的媒体文件。攻击者可通过这些漏洞进行窃取,从而对用户造成无法挽回的损失。因此,Check Point建议手机用户不要轻易打开陌生人发送的媒体文件,并通过Android每月发布的更新及时为手机打补丁,从而在源头上防范黑客攻击”

 CPR 目前尚未透露其研究结果的技术细节。这些细节将在 2022 年 5 月召开的 CanSecWest 会议上公布。 


相关话题

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,文章为企业广告宣传内容,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,可及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈联系地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

推荐关键词

24小时热搜

查看更多内容

大家正在看

高通收购Cellwize