近期，安全分析師發現，由于Apple無損音頻編解碼器(ALAC)的實施存在缺陷，在高通和聯發科芯片組上運行的Android設備容易受到遠程代碼執行的影響。

ALAC是一種用于無損音頻壓縮的音頻編碼格式，Apple于2011年開源。從那時起，該公司一直在發布該格式的更新，包括安全修復程序，但并非每個使用該編解碼器的第三方供應商都應用這些修復程序。根據Check Point Research的一份報告，這包括全球最大的兩家智能手機芯片制造商高通和聯發科。

雖然分析師尚未提供有關實際利用這些漏洞的許多細節，但承諾會在2022 年 5月即將舉行的CanSecWest上提供更多詳細信息。從目前可用的詳細信息來看，該漏洞使遠程攻擊者能夠通過發送惡意制作的音頻文件并誘使用戶打開它來在目標設備上執行代碼。研究人員稱這種攻擊為“ALHACK”。而遠程代碼執行攻擊會帶來嚴重的影響，包括數據泄露、植入和執行惡意軟件、修改設備設置、訪問麥克風和攝像頭等硬件組件或帳戶接管。

聯發科和高通公司于2021年12月修復了ALAC漏洞，該漏洞編號為CVE-2021-0674(中等嚴重性，得分 5.5)、CVE-2021-0675(高嚴重性，得分 7.8)和CVE-2021- 30351(嚴重程度為 9.8 分)。根據研究人員的分析，高通和聯發科的ALAC解碼器實現可能存在越界讀寫，以及對音樂播放期間傳遞的音頻幀的不正確驗證，而這樣可能造成用戶信息泄露的后果。

BleepingComputer 要求高通就當前客戶面臨的風險發表評論。公司發言人提供了以下聲明：

提供支持強大安全和隱私的技術是高通的首要任務。我們贊揚 Check Point Technologies 的安全研究人員使用行業標準的協調披露做法。關于他們披露的 ALAC 音頻解碼器問題，高通于2021 年 10月向設備制造商提供了補丁。我們鼓勵最終用戶在安全更新可用時更新他們的設備。

音頻編解碼器漏洞案例

幾乎每個月的Android安全更新中都會修復閉源音頻處理單元中的遠程代碼執行漏洞。例如，4月份的Android補丁包括九個針對閉源組件中的關鍵漏洞的修復。其中之一是CVE-2021-35104(嚴重性評分為 9.8)-緩沖區溢出導致在播放FLAC音頻剪輯時不正確地解析標題。該漏洞影響了高通在過去幾年發布的幾乎所有產品系列中的芯片組。

如何保持安全

建議讓您的設備保持最新狀態，在這種情況下，至少得運行Android“2021年12月”或更高版本的補丁。如果設備不再從供應商處收到安全更新，則可以考慮安裝仍提供Android補丁的第三方Android發行版。最后，當接收來自未知或可疑來源/用戶的音頻文件時，最好不要打開它們，因為它們可能會觸發漏洞。

參考來源：https://www.bleepingcomputer.com/news/security/critical-bug-in-android-could-allow-access-to-users-media-files/