Android中的严重bug可导致用户媒体文件被访问

近期，安全分析师发现，由于Apple无损音频编解码器(ALAC)的实施存在缺陷，在高通和联发科芯片组上运行的Android设备容易受到远程代码执行的影响。

ALAC是一种用于无损音频压缩的音频编码格式，Apple于2011年开源。从那时起，该公司一直在发布该格式的更新，包括安全修复程序，但并非每个使用该编解码器的第三方供应商都应用这些修复程序。根据Check Point Research的一份报告，这包括全球最大的两家智能手机芯片制造商高通和联发科。

虽然分析师尚未提供有关实际利用这些漏洞的许多细节，但承诺会在2022 年 5月即将举行的CanSecWest上提供更多详细信息。从目前可用的详细信息来看，该漏洞使远程攻击者能够通过发送恶意制作的音频文件并诱使用户打开它来在目标设备上执行代码。研究人员称这种攻击为“ALHACK”。而远程代码执行攻击会带来严重的影响，包括数据泄露、植入和执行恶意软件、修改设备设置、访问麦克风和摄像头等硬件组件或帐户接管。

联发科和高通公司于2021年12月修复了ALAC漏洞，该漏洞编号为CVE-2021-0674(中等严重性，得分 5.5)、CVE-2021-0675(高严重性，得分 7.8)和CVE-2021- 30351(严重程度为 9.8 分)。根据研究人员的分析，高通和联发科的ALAC解码器实现可能存在越界读写，以及对音乐播放期间传递的音频帧的不正确验证，而这样可能造成用户信息泄露的后果。

BleepingComputer 要求高通就当前客户面临的风险发表评论。公司发言人提供了以下声明：

提供支持强大安全和隐私的技术是高通的首要任务。我们赞扬 Check Point Technologies 的安全研究人员使用行业标准的协调披露做法。关于他们披露的 ALAC 音频解码器问题，高通于2021 年 10月向设备制造商提供了补丁。我们鼓励最终用户在安全更新可用时更新他们的设备。

音频编解码器漏洞案例

几乎每个月的Android安全更新中都会修复闭源音频处理单元中的远程代码执行漏洞。例如，4月份的Android补丁包括九个针对闭源组件中的关键漏洞的修复。其中之一是CVE-2021-35104(严重性评分为 9.8)-缓冲区溢出导致在播放FLAC音频剪辑时不正确地解析标题。该漏洞影响了高通在过去几年发布的几乎所有产品系列中的芯片组。

如何保持安全

建议让您的设备保持最新状态，在这种情况下，至少得运行Android“2021年12月”或更高版本的补丁。如果设备不再从供应商处收到安全更新，则可以考虑安装仍提供Android补丁的第三方Android发行版。最后，当接收来自未知或可疑来源/用户的音频文件时，最好不要打开它们，因为它们可能会触发漏洞。

参考来源：https://www.bleepingcomputer.com/news/security/critical-bug-in-android-could-allow-access-to-users-media-files/