Apple Lossless Audio

kelemahan keamanan dalam codec audio telah ditemukan dengan menggunakan peneliti keamanan, mengatur ratusan ribu ponsel Android dan gadget Android lainnya yang ditenagai melalui chipset dari MediaTek dan Qualcomm yang rentan disusupi oleh peretas. Berasal dari codec yang dibuat dengan bantuan Apple bertahun-tahun yang lalu, kerentanan dibiarkan tidak ditambal karena perusahaan membuka source codec sebelas tahun yang lalu, untuk dimasukkan pada perangkat non-Apple. dengan memanfaatkan kelemahan keamanan, penyerang mungkin ingin mendapatkan akses ke percakapan media dan audio smartphone Android dari jarak jauh, menurut para peneliti.
Menurut catatan oleh para peneliti di penelitian titik pemeriksaan, cacat pada Apple Lossless Audio Codec (ALAC) dari Apple memungkinkan penyerang untuk melakukan serangan kode eksekusi jarak jauh (RCE) pada telepon tujuan, setelah mengirim pesan yang salah. laporan audio. Serangan RCE dapat memungkinkan penyerang untuk mendapatkan pengelolaan multimedia di handset, yang terdiri dari streaming video dari kamera, memiliki akses ke media dan percakapan pengguna.
Kelemahan keamanan ditentukan dalam codec ALAC Apple, yang diubah menjadi open-source oleh perusahaan bisnis pada tahun 2011 — memungkinkan perangkat non-Apple untuk beredar mendengarkan ‘lossless’ terbaik penggunaan codec milik Apple sebelumnya. tetapi, sementara Apple menambal model berpemilik codec ALAC, versi open-supply tetap tidak ditambal, sejalan dengan para peneliti.
Akibatnya, Qualcomm dan MediaTek, produsen chipset yang mem-porting codec ALAC yang rentan ke dekoder audio mereka, menyebabkan lebih dari dua pertiga dari semua smartphone yang dibeli pada tahun 2021 rentan terhadap kelemahan keamanan, yang dijuluki “ALHACK”, menurut para peneliti. . Kerentanan telah diungkapkan secara bertanggung jawab kepada Qualcomm dan MediaTek, yang masing-masing menyebutkan masalah dan menetapkan Kerentanan dan Eksposur (CVE) yang tidak biasa untuk kekurangannya. MediaTek menetapkan CVE-2021-0674 dan CVE-2021-0675 (masing-masing dengan peringkat ‘Sedang’ dan ‘berlebihan’), sementara Qualcomm menetapkan CVE-2021-30351 (dengan skor ‘vital’ 9,8 dari 10) untuk kekurangan ALAC, sebelum menambalnya.
Menurut para peneliti, setiap bisnis telah mengeluarkan patch untuk masalah yang tercakup dalam buletin perlindungan Android Desember 2021, ini berarti bahwa pengguna dengan ponsel cerdas yang memperoleh patch perlindungan Desember harus aman dari kerentanan. namun, ini meninggalkan puluhan juta pengguna yang menjalankan perangkat lunak lama, atau pengguna yang mendapatkan pembaruan keamanan yang tidak menentu — membuat mereka rentan disusupi oleh penyerang.