Apfel ein Audioformat namens entwickelt Apple Lossless Audio-Codec (ALAC) im Jahr 2004 zur Verwendung in iTunes. Dieses Audioformat bot eine verlustfreie Datenkomprimierung. Das Format wurde von Unternehmen weltweit übernommen, als Apple es 2011 als Open Source veröffentlichte. Jetzt deutet ein neuer Bericht darauf hin, dass ein Fehler in der ALAK kann zwei Drittel davon beeinflussen Android Geräte, die 2021 verkauft wurden, und die ungepatchten Geräte sind anfällig für die Übernahme durch feindliche Angreifer.
Was ist der ALAC-Bug?
Laut einem Bericht von Check Point Research hat Apple seine eigene ALAC-Version im Laufe der Jahre kontinuierlich aktualisiert, während die Open-Source-Version seit ihrer Ankündigung im Jahr 2011 nicht mit Sicherheitsupdates aktualisiert wurde. Das Fehlen von Sicherheitsfixes hat dies ermöglicht eine ungepatchte Schwachstelle, die in Prozessoren enthalten sein soll, die von entwickelt wurden Qualcomm und MediaTek.
Was macht den Fehler so gefährlich?
Der Bericht legt nahe, dass sowohl MediaTek als auch Qualcomm den kompromittierten ALAC-Code in die Audiodecoder ihrer Chipsätze integriert haben. Diese Schwachstelle kann von einem Hacker auf eine fehlerhafte Audiodatei ausgenutzt werden, um einen Remote Code Execution Attack (RCE) zu initiieren. Für RCE Angriffe benötigen Hacker keinen physischen Zugriff auf das Zielgerät und können den Angriff aus der Ferne ausführen. Damit ist RCE die gefährlichste Art von Hacking-Angriff.
Hacker können die Kontrolle über die Mediendateien eines Benutzers erlangen und mithilfe der fehlerhaften Audiodatei auf die Streaming-Funktion der Kamera zugreifen. Dieser Fehler kann auch verwendet werden, um bestimmten Android-Apps einige zusätzliche Berechtigungen zu erteilen, die dem Hacker beim Zugriff auf die Unterhaltungen des Benutzers helfen. In Anbetracht des Marktanteils von MediaTek und Qualcomm am globalen Mobilchip behauptet der Bericht, dass dieses Problem zwei Drittel aller im Jahr 2021 verkauften Android-Telefone betrifft. Beide Unternehmen haben jedoch im Dezember 2021 Korrekturen herausgegeben, die schließlich an die Gerätehersteller gesendet wurden.
Ein anderer Bericht von Ars Technica erwähnt, dass die Schwachstelle einige ernsthafte Fragen zu den Schritten aufwirft, die Qualcomm und MediaTek unternehmen, um die Sicherheit des von ihnen implementierten Codes zu gewährleisten. Hoffentlich führt die Schwere dieses Missgeschicks zu Änderungen, die sich auf die Sicherheit der Benutzer konzentrieren.
alac: Erklärt: Was ist der ALAC-Bug und wie dadurch Millionen von Android-Geräten Angriffen ausgesetzt wurden
