En décembre dernier, MediaTek a corrigé des vulnérabilités de sécurité CVE-2021-0674 et CVE-2021-0675, tandis que Qualcomm a corrigé une vulnérabilité CVE-2021-30351. À l’origine de la découverte des failles et de leur signalement responsable aux fabricants de puces mobiles, Check Point Research souligne que deux tiers de tous les smartphones vendus sur l’année 2021 étaient vulnérables.
MediaTek fait référence à des bugs de sécurité en rapport avec le décodeur ALAC, tandis que Qualcomm évoque de manière plus évasive un bug de sécurité critique avec le traitement de l’audio et un vecteur d’attaque à distance.
Check Point Research a attribué le petit nom de ALHACK à l’attaque possible en exploitant ces vulnérabilités. Elle sera dévoilée dans le cadre de l’édition 2022 de la conférence CansecWest sur la sécurité informatique prévue du 18 au 20 mai prochain à Vancouver au Canada.
Introduit par Apple en 2004 et en open source en 2011
Selon les chercheurs en sécurité, les vulnérabilités découvertes dans le format de codage ALAC (Apple Lossless Audio Codec) peuvent être utilisées par un attaquant dans le cadre d’une exécution de code à distance grâce à un fichier audio spécialement formé.
Ils ajoutent qu’une application Android non autorisée pourrait utiliser les vulnérabilités pour une élévation des privilèges et l’accès aux données multimédia, aux conversations.
Check Point Research souligne que les vulnérabilités affectent la version open source du codec ALAC mise à disposition par Apple en 2011. » Depuis, Apple a mis à jour la version propriétaire du décodeur à plusieurs reprises, corrigeant les problèmes de sécurité, mais le code partagé n’a pas été modifié depuis 2011. «
Les vulnérabilités seraient facilement exploitables. Toutefois, il n’y a pas eu de rapport concernant une exploitation dans des attaques actives pour le moment.