匯流新聞網記者徐以琳、王佐銘、李盛雯/台北報導
近日,全球網路安全解決方案廠商 Check Point Software的威脅情報部門Check Point Research於高通和聯發科的音訊解碼器中發現安全漏洞。該漏洞是基於一個 Apple 11 年前開源的程式碼,若未能及時修補,攻擊者將能夠遠端存取媒體和對話音訊,或透過惡意遠端程式碼執行威脅全球三分之二的行動裝置。
由Apple開發的保真壓縮音訊編解碼器(Apple Lossless Audio Codec,ALAC)是一種音訊編碼格式,2004年推出後,用於數位音樂的保真音訊壓縮,並於 2011 年底開源。ALAC 格式自此被應用於許多非 Apple 音訊播放設備和程式中,包括 Android 智慧型手機、Linux 和 Windows 媒體播放器及轉換器。此後 Apple 多次更新並修補其私有版本的解碼器,但開源版本自 2011 年以來就未再更新。然而Check Point Research 團隊發現,高通和聯發科都在其音訊解碼器中採用了含有安全漏洞的 ALAC。
Check Point Research表示,該漏洞不僅可能被攻擊者用於遠端程式碼執行、對行動裝置發起攻擊,還包含惡意軟體執行和攻擊者能成功控制使用者的多媒體資料,權限較低的Android應用程式更可利用這些漏洞提升權限,並存取使用者的媒體資料和對話紀錄。
Check Point Research逆向工程和安全研究部的Slava Makkaveev指出,這組漏洞將導致受害者只要播放攻擊者傳送的一份媒體檔案,便能成功注入惡意程式碼到權限較高的媒體服務中。攻擊者將能看到使用者在手機上查找的資訊,包含音訊及視訊等媒體服務並成功竊取資訊。
目前Check Point Research已向聯發科和高通揭露相關資訊,並與兩家廠商密切合作,確保盡快修復。聯發科將公司漏洞命名為CVE-2021-0674和CVE-2021-0675,目前已修復漏洞,並發佈在2021年12月聯發科產品安全佈告欄中;高通則在2021年12月高通安全佈告欄中發佈了該公司CVE-2021-30351的修補程式。
照片來源:Unsplash示意圖
《更多CNEWS匯流新聞網報導》
【文章轉載請註明出處】