ALAC-tiedostojen purkuosiossa ollut bugi jätti miljoonat Qualcommin tai MediaTekin piirejä käyttävät Android-puhelimet haavoittuviksi

Diizzel

Ylläpidon jäsen
Liittynyt
29.10.2016
Viestejä
2 233
Android-ALAC-haavoittuvuus-otsikko-220422.jpg


Diizzel kirjoitti uutisen/artikkelin:
Android-laitteista on löydetty haavoittuvuus, joka koskee suurta osaa vuonna 2021 julkaistuista Android-laitteista. Haavoittuvuuden takana on ALAC-koodekki, eli Apple Lossless Audio Codec, joka on Applen häviöttömän musiikin pakkaustekniikka.

Tarkalleen haavoittuvuus koskee MediaTekin ja Qualcommin järjestelmäpiireillä varustettuja puhelimia, sillä kyseisten yritysten ALAC-tiedostojen purkuosiosta löytynyt haavoittuvuus mahdollisti haitallisen ohjelmiston ajamisen saastutetun äänitiedoston avulla. Haavoittuvuuden löytäneen Check Pointin mukaan jopa kaksi kolmesta vuonna 2021 julkaistusta älypuhelimesta on ollut altis haavoittuvuudelle.

Apple on luonut ALAC-koodekin vuonna 2004 ja vuonna 2011 yritys julkaisi ALAC:n avoimena lähdekoodina ja tuota avoimen lähdekoodin versiota on käytetty sittemmin useissa laitteissa. Apple itse on jatkanut sittemmin oman yksinoikeudella käytössä olevan koodekkinsa kehittämistä ja turvallisuuspäivitysten julkaisemista, mutta avoimen lähdekoodin versiota amerikkalaisyritys itse ei ole päivittänyt julkaisun jälkeen.

Qualcommin ja MediaTekin järjestelmäpiirien haavoittuvuuden takana onkin tuo jo yli 10 vuotta vanha avoin lähdekoodi. Haavoittuvuudesta uutisoinut Ars Technica on nostanut ilmoille kysymyksen siitä, mikseivät Qualcomm ja MediaTek ole panostanut koodekin päivittämiseen Applen tavoin.

Haavoittuvuuden löytymisen jälkeen sekä Qualcomm että MediaTek ovat viime vuoden puolella jakaneet puhelinvalmistajille ja Googlelle tilanteen korjaavan päivityksen, joka on lähtenyt jakoon puhelimille viime joulukuussa Googlen tietoturvakorjausten mukana. Eli mikäli puhelimessasi on joulukuun 2021 tietoturvakorjaukset tai uudemmat, ei puhelimesi enää sisällä tässä uutisessa käsiteltyä haavoittuvuutta.

Lähteet: Check Point, Ars Technica, Android Authority

Linkki alkuperäiseen juttuun
 
Huomiona vielä, että Android-käyttöjärjestelmän oletustoteutus ei tue suoraan ALAC-audiota, joten järjestelmäpiirivalmistajat ovat itse lisänneet tuon tuen. Ja tuo ongelma koskee tosiaan niitä softia, jotka käyttävät sitä järjestelmän omaa toistotukea. esim. libavcodecissa ja sitä käyttävissä sovelluksissa ei tätä ongelmaa ole.
 
Huomiona vielä, että Android-käyttöjärjestelmän oletustoteutus ei tue suoraan ALAC-audiota, joten järjestelmäpiirivalmistajat ovat itse lisänneet tuon tuen. Ja tuo ongelma koskee tosiaan niitä softia, jotka käyttävät sitä järjestelmän omaa toistotukea. esim. libavcodecissa ja sitä käyttävissä sovelluksissa ei tätä ongelmaa ole.
Eli esim. Sitä selainta… jos joku syöttää selaimelle nettisivulla videon / audiotiedoston jossa on sopiva alac-payload, niin riskit ovat olemassa. Vaikea sanoa miten js-playereiden läpi soitettaessa. Jos ne käyttävät selaimen läpi natiivikodekkeja, niin taas paukkuu.
 
Eli esim. Sitä selainta… jos joku syöttää selaimelle nettisivulla videon / audiotiedoston jossa on sopiva alac-payload, niin riskit ovat olemassa. Vaikea sanoa miten js-playereiden läpi soitettaessa. Jos ne käyttävät selaimen läpi natiivikodekkeja, niin taas paukkuu.
Chrome/Chromium ja Firefox eivät tue ALAC:ia. Eli käytännössä se tiedosto on ladattava laitteeseen ja sitten avattava sellaisella mediasoittimella, joka käyttää ALAC:in purkuun tuota käyttöjärjestelmän toteutusta.
 
Chrome/Chromium ja Firefox eivät tue ALAC:ia. Eli käytännössä se tiedosto on ladattava laitteeseen ja sitten avattava sellaisella mediasoittimella, joka käyttää ALAC:in purkuun tuota käyttöjärjestelmän toteutusta.
Eli siis eivät tue käyttöjärjestelmän tarjoamia kodekkeja? Ok.
 

Statistiikka

Viestiketjuista
261 397
Viestejä
4 536 845
Jäsenet
74 795
Uusin jäsen
karhuluu

Hinta.fi

Back
Ylös Bottom