Check Point Research a découvert que Qualcomm et MediaTek, deux des plus grands fabricants de puces mobiles au monde, ont intégré le code ALAC en question dans leurs décodeurs audio, qui sont utilisés dans plus de la moitié des smartphones dans le monde. Selon IDC, 48,1 % de tous les téléphones Android vendus aux États-Unis sont alimentés par MediaTek au quatrième trimestre 2021, tandis que Qualcomm détient actuellement 47 % du marché.
- MediaTek et Qualcomm, les deux plus grands fabricants de puces mobiles au monde, ont utilisé le codage audio ALAC dans leurs téléphones mobiles très largement commercialisés, mettant ainsi en danger la vie privée de millions d’utilisateurs d’Android
- Deux tiers de tous les smartphones vendus en 2021 sont vulnérables
- Check Point Research a découvert des vulnérabilités dans le format ALAC qui auraient pu permettre à un attaquant de se procurer à distance l’accès à ses médias et conversations audio
- Qualcomm et MediaTek ont confirmé les vulnérabilités signalées par CPR, et en réponse ont mis en place des patchs et des correctifs.
L’Apple Lossless Audio Codec (ALAC), également connu sous le nom d’Apple Lossless, est un format de codage audio, développé par Apple Inc. et introduit pour la première fois en 2004 pour la comprimer les données sans perdre la musique numérique.
Fin 2011, Apple a rendu le codec open source. Depuis lors, le format ALAC a été intégré dans de nombreux appareils et programmes de lecture audio autres que ceux d’Apple, notamment les smartphones Android, les lecteurs et convertisseurs multimédias Linux et Windows.
Depuis, Apple a mis à jour la version propriétaire du décodeur à plusieurs reprises, corrigeant et patchant les problèmes de sécurité, mais le code partagé n’a pas été modifié depuis 2011. De nombreux fournisseurs tiers utilisent le code fourni par Apple comme base de leurs implémentations ALAC, et on peut légitimement supposer que beaucoup d’entre eux ne gèrent pas le code externe.
La découverte de CPR et quelle est la menace potentielle ?
Les failles ALAC découvertes par les chercheurs pourraient être utilisées par un cybercriminel pour lancer une attaque d’exécution de code à distance (RCE) sur un appareil mobile par le biais d’un fichier audio défectueux. Ces attaques RCE permettent à un malfaiteur d’exécuter à distance un code malveillant sur un ordinateur. L’impact d’une vulnérabilité RCE peut varier de l’exécution d’un malware à la prise de contrôle par un attaquant des données multimédias d’un utilisateur, y compris le streaming de la caméra d’un dispositif compromis.
De plus, une application Android non autorisée pourrait utiliser ces vulnérabilités pour élever ses privilèges et accéder aux données multimédia et aux conversations des utilisateurs.
Une révélation responsable
Check Point Research a divulgué les informations à MediaTek et Qualcomm et a travaillé en étroite collaboration avec les deux fournisseurs pour s’assurer que ces vulnérabilités soient corrigées.
MediaTek a attribué CVE-2021-0674 et CVE-2021-0675 aux problèmes ALAC. Les vulnérabilités ont déjà été corrigées et publiées dans le bulletin de sécurité de MediaTek de décembre 2021. Qualcomm a publié le correctif pour CVE-2021-30351 dans son bulletin de sécurité de décembre 2021.