صور جيتي
قال باحثو الأمن إنهم اكتشفوا ثغرة يمكن أن تسمح للقراصنة بالسيطرة على ملايين الأجهزة التي تعمل بنظام أندرويد التي تعمل بشرائح الهواتف المحمولة التي تصنعها كوالكوم وميديا تيك.
تكمن الثغرة في ALAC – اختصار لـ Apple Lossless Audio Codec والمعروف أيضًا باسم Apple Lossless – وهو تنسيق صوتي قدمته شركة Apple في عام 2004 لتوفير صوت بلا فقدان عبر الإنترنت. بينما قامت Apple بتحديث نسختها الخاصة من جهاز فك التشفير لإصلاح الثغرات الأمنية على مر السنين ، لم يتم تحديث إصدار مفتوح المصدر تستخدمه Qualcomm و MediaTek منذ عام 2011.
توفر كل من Qualcomm و MediaTek معًا شرائح هواتف محمولة لـ قيمة 95٪ من أجهزة Android الأمريكية.
جهاز الاستماع عن بعد
احتوى كود ALAC الذي عربات التي تجرها الدواب على ملف خارج حدود الضعف، مما يعني أنه جلب البيانات خارج حدود الذاكرة المخصصة. يمكن للقراصنة استغلال هذا الخطأ لإجبار وحدة فك التشفير على تنفيذ تعليمات برمجية ضارة قد تكون محظورة.
قالت شركة Check Point الأمنية: “يمكن استخدام مشكلات ALAC التي اكتشفها باحثونا من قبل مهاجم لتنفيذ تعليمات برمجية عن بُعد (RCE) لهجوم على جهاز محمول عبر ملف صوتي تالف”. قال الخميس. تسمح هجمات RCE للمهاجم بتنفيذ تعليمات برمجية ضارة عن بُعد على جهاز الكمبيوتر. يمكن أن يتراوح تأثير ثغرة RCE من تنفيذ برامج ضارة إلى مهاجم يتحكم في بيانات وسائط المستخدم ، بما في ذلك التدفق من كاميرا الجهاز المخترق.
نقلت Check Point عن باحث اقترح أن ثلثي جميع الهواتف الذكية التي تم بيعها في عام 2021 معرضة للهجوم ما لم يتلقوا تصحيحًا.
يمكن أيضًا استغلال ثغرة ALAC ، التي تم تحديدها على أنها CVE-2021-30351 بواسطة Qualcomm و CVE-2021-0674 و CVE-2021-0675 بواسطة MediaTek ، من خلال تطبيق Android غير مميز لرفع امتيازات النظام الخاصة به إلى بيانات الوسائط وميكروفون جهاز ، مما يزيد من شبح التنصت على المحادثات القريبة والأصوات المحيطة الأخرى.
أرسل كلا صانعي الشرائح تصحيحات العام الماضي إلى Google أو صانعي الأجهزة ، الذين قاموا بدورهم بتسليم التصحيحات للمستخدمين المؤهلين في ديسمبر. يمكن لمستخدمي Android الذين يرغبون في معرفة ما إذا كان قد تم تصحيح أجهزتهم التحقق من مستوى تصحيح الأمان في إعدادات نظام التشغيل. إذا أظهر مستوى التصحيح تاريخ ديسمبر 2021 أو ما بعده ، فإن الجهاز لم يعد عرضة للخطر. لكن العديد من الهواتف لا تزال لا تتلقى تصحيحات أمنية بشكل منتظم ، إن وجدت ، وتظل تلك التي لديها مستويات التصحيح قبل ديسمبر 2021 عرضة للإصابة.
تدعو الثغرة الأمنية إلى التشكيك في موثوقية التعليمات البرمجية مفتوحة المصدر التي تستخدمها Qualcomm و MediaTek وطرقهما في الحفاظ على أمانها. بينما قد تقوم Apple بتحديث قاعدة بيانات ALAC الخاصة بها على مر السنين لإصلاح نقاط الضعف ، إلا أنه من المقلق أن مجموعتي الشرائح العملاقة لم تحذو حذوها. تثير هذه الثغرة أيضًا التساؤل حول ما قد تكون مكتبات الشفرات مفتوحة المصدر الأخرى المستخدمة من قبل صانعي الرقائق قديمة أيضًا.
في بيان ، كتب مسؤولو كوالكوم:
يعد توفير التقنيات التي تدعم الأمان والخصوصية القويين من أولويات Qualcomm Technologies. نثني على الباحثين الأمنيين في Check Point Technologies لاستخدامهم ممارسات الإفصاح المنسق المتوافقة مع معايير الصناعة. فيما يتعلق بمشكلة وحدة فك ترميز الصوت ALAC التي تم الكشف عنها ، أتاحت Qualcomm Technologies إصلاحات لمصنعي الأجهزة في أكتوبر 2021. نشجع المستخدمين النهائيين على تحديث أجهزتهم عند توفر التحديثات. تتوفر تحديثات الأمان.
لم يرد MediaTek على الفور على رسالة.
قالت نقطة التحقق ذلك تقديم التفاصيل الفنية الضعف الشهر المقبل في مؤتمر CanSecWest في فانكوفر.
Social media junkie. Zombie fanatic. Travel fanatic. Music obsessed. Bacon expert.