Check Point araştırmacılarını uyarmak için milyonlarca Android cihazının, Apple’ın yıllar önce yayınladığı ancak o zamandan beri düzeltmediği bir ses codec bileşenindeki kusurlar nedeniyle uzaktan kod yürütme saldırısına karşı savunmasız olduğu söyleniyor. Apple’ın 2011’de piyasaya sürdüğü bir ses sıkıştırma teknolojisi olan Apple Lossless Audio Codec’te (ALAC) bir hata keşfettiler. Bu codec daha sonra oynatma için Android cihazlara ve programlara entegre edildi. Şu anda dünyada kullanılan mobil cihazlar.
Check Point araştırmacılarının belirttiği gibi sorun, Apple’ın ALAC’ın tescilli sürümünü güncelleyip yamalamasına rağmen, ALAC’ın açık kaynak kodunun 2011’den beri güncellenmemiş olmasıdır. uzaktan kod yürütülmesine izin verir. Bir bilgisayar korsanının, hedefe hatalı biçimlendirilmiş bir ses dosyası göndererek bu kusurdan yararlanmasına ve ikincisinin herhangi bir Android cihazında kötü amaçlı yazılım yürütmesine izin verecek kadar!
Check Point araştırmacıları, kusurun “bir saldırganın medyalarına ve sesli konuşmalarına uzaktan erişmesine neden olabileceğini” bile açıklıyor. Bu hatalar, her ikisi de kusurları onaylayan MediaTek ve Qualcomm yongalarına sahip Android cihazlarını etkiler. Qualcomm, Aralık ayı güvenlik güncellemesinde CVE-2021-30351 olarak bilinen kusuru düzeltti. MediaTek, Aralık güvenlik güncellemesinde CVE-2021-0674 ve CVE-2021-0675 olarak tespit edilen ALAC sorunlarını da düzeltti.
Kritik bir kusur
Bu kusurun tehlikeli olmasının bir sonucu olarak Qualcomm, olası 10 üzerinden 9,8 önem puanı ile “kritik” bir puan verdi. Qualcomm, tavsiyesinde, “Müzik çalma sırasında geçen kare sayısının yanlış doğrulanması nedeniyle sınır dışı bellek erişimi oluşabilir.” Dedi. MediaTek, CVE-2021-0675’i “alac kod çözücüdeki bir bellek arabelleği içindeki işlemleri yanlış bir şekilde kısıtlama” nedeniyle “yüksek” önemde ayrıcalık yükselmesi hatası olarak sınıflandırdı. Android 8.1, 9.0, 10.0 ve 11.0 sürümlerini çalıştıran cihazlarda kullanılan düzinelerce MediaTek yongasını etkiler.
Güvenlik açığı bulunan Android cihazların sayısı, güvenlik açıklarının giderildiği aygıt yazılımı güncellemelerini yükleyen kişi sayısına bağlıdır. Yine de, iki yonga üreticisi, Android cihazlarda kullanılan en çok yonga üzerinde sistem satıcılarıdır. Check Point, 2021’de satılan tüm akıllı telefonların üçte ikisinin “ALHACK” dediği şeye karşı savunmasız olduğunu tahmin ediyor.
Google, Aralık 2021 güncellemesinde Qualcomm hatası ve MediaTek’in CVE-2021-0675’i için bir düzeltme yayınladı. Ancak, düzeltmeleri kendi hızlarında kullanıma sunmak hala her Android telefon üreticisine kalmış durumda. Bu nedenle, Android akıllı telefonların tüm sahipleri için uyanıklık çok fazla kalır.
Kaynak : ZDNet.com