資安廠商 Check Point 旗下的資安專家,日前發現採用 Qualcomm 與 MediaTek 處理器的 Android 裝置,內建的 Apple Lossless Audio Codec (ALAC)音訊解碼器實作方案含有資安漏洞,駭侵者可藉以遠端執行任意程式碼。
Apple Lossless Audio Codec 是由 Apple 開發的無損音訊壓縮格式,在 2011 年開放源碼;專家指出,雖然 Apple 經常針對 ALAC 推出更新與資安修補,但並非所有採用 ALAC 的廠商,都會立即套用這些更新。
這次 Check Point 資安專家發現的漏洞,即出在世界最大的兩家 Android 晶片供應商 Qualcomm 與 MediaTek 上;駭侵者可以利用特製的音訊檔案,來誘發採用 Qualcomm 與 MediaTek 的 Android 裝置發生錯誤。駭侵者可以讀寫邊界外的記憶體內容,並且用戶不知情的情形下,遠端執行任意程式碼。
這三個資安漏洞的 CVE 編號與 CVSS 危險程度評分,分別為 CVE-2021-0674(5.5 分)、CVE-2021-0675(7.8 分),以及 CVE-2021-30351(9.8分)。
Qualcomm 與 MediaTek 已於去(2021)年 12 月修復這批漏洞,但由於 Android 手機的更新,往往必須等到手機品牌原廠推出更新才能進行,更有許多中低價位手機,在上市一兩年後,原廠就停止提供韌體更新服務,因此用戶必須提高警覺;除了一有更新就須立即套用外,也應避免在 Google Play Store 以外處下載安裝任何手機應用程式。
- 參考連結
Largest Mobile Chipset Manufacturers used Vulnerable Audio Decoder, 2/3 of Android users’ Privacy around the World were at Risk
Critical bug in Android could allow access to users' media files
留言列表
資安宣導 (2)
