研究人员表示，音频编解码器中的缺陷使三分之二的手机面临窥探的风险

时间：2025-01-07 12:20:58

由于的产品早自由软件的磁带编解码器普遍存在不足之处，造成了数以百万计的Android装置较易受到远程代码执行袭击。

Check Point的数据分析医护人员在Apple Lossless Audio Codec（ALAC）当中发现了一个正确，这是Apple在2011年自由软件的磁带压缩技术。紧接著，ALAC被嵌入到Android装置和程序当中以进行磁带电视。

正如Check Point数据分析医护人员所指出的那样，原因在于，虽然的产品更新并复原了其专有完整版的ALAC，但ALAC的自由软件代码自2011年以来之前没有更新，并且它举例来说一个强制远程代码执行的重大事件不足之处。

远程袭击者可以通过向目标发送格式正确的磁带文件来为了让此漏洞，从而使袭击者能够在Android 装置上执行垃圾邮件。

数据分析医护人员说，该漏洞“可能造成了袭击者远程访问其媒体和磁带对话”。这些正确冲击了使用联发科技和很低通集成电路的Android装置，这两者也都推测了这些不足之处。

很低通公司在其12月初的安全更新当中复原了该正确，尾随为CVE-2021-30351。联发科技也在12月初的安全更新当中应对了ALAC原因，尾随为CVE-2021-0674和CVE-2021-0675。

很低通公司将CVE-2021-30351获评“比较严重”评级，比较后果得分为9.8分（总分10分）。很低通公司在其公告当中说明: “由于对音乐电视期间传递的帧数的验证不合理，会发生华界内存访问。”

联发科技将 CVE-2021-0675 获评“很低”比较后果特权提升正确，原因是“在 alac 解码器内存默认的范围内操作者限制妨碍”。据联发科技称，它冲击了运行Android完整版8.1，9.0，10.0和11.0的装置当中使用的数十款联发科技集成电路。

联发科技说明，CVE-2021-0674是一个“当中等”比较严重基准，“可能造成了本地的资讯披露，不须额外的执行权限。同样，为了让它不需要跟用户产生交互。”

有多少Android装置较易受到袭击取决于有多少人安装了固件更新，其当中修复了不足之处。但这两家集成电路制造商是在American和各种类型卖出的Android装置当中使用的系统设计集成电路背后的最大供应商。

Check Point估计，2021年卖出的所有智能手机当中有三分之二较易受到其所谓的“ALHACK”的冲击。

谷歌确实在其2021年12月初的更新当中发布了很低通漏洞和联发科技 CVE-2021-0675的补丁。但是，每个Android手机制造商无论如何要按照自己的节奏推出补丁。

Check Point计划在下个月初的CanSecWest安全全体会议上透露有关这些漏洞的更多细节。（本文出自SCA安全通信该联盟，转载商量标示出处。）