Bir ses codec bileşenindeki güvenlik kusurları, güvenlik araştırmacıları tarafından ortaya çıkarıldı ve milyonlarca Android telefonu ve MediaTek ve Qualcomm yonga setleriyle çalışan diğer Android cihazları, bilgisayar korsanları tarafından ele geçirilme riskiyle karşı karşıya kaldı. Apple tarafından birkaç yıl önce oluşturulan bir codec bileşeninden kaynaklanan güvenlik açıkları, şirketin codec bileşenini Apple dışındaki cihazlara dahil edilmek üzere 11 yıl önce açık kaynaklı hale getirmesinden bu yana yamalanmamıştı. Araştırmacılara göre, bir saldırgan güvenlik açıklarından yararlanarak bir Android telefonun medya ve sesli konuşmalarına uzaktan erişebilir.
göre rapor Check Point Research’teki araştırmacılar tarafından, Apple’ın Apple Lossless Audio Codec’indeki (ALAC) bir kusur, bir saldırganın hatalı biçimlendirilmiş bir ses dosyası gönderdikten sonra hedef akıllı telefonda uzaktan kod yürütme (RCE) saldırısı gerçekleştirmesine olanak tanır. Bir RCE saldırısı, saldırganın kameralardan video akışı, medyaya ve kullanıcı konuşmalarına erişme dahil olmak üzere ahizedeki multimedya kontrolünü ele geçirmesine izin verebilir.
Güvenlik açıkları, Apple’ın 2011 yılında açık kaynaklı olan ALAC codec bileşeninde keşfedildi ve Apple’a ait olmayan cihazların Apple’ın daha önce tescilli codec bileşenini kullanarak “kayıpsız” kalitede müzik akışı yapmasına izin verdi. Ancak, araştırmacılara göre Apple, ALAC kodeğinin tescilli sürümünü yamalarken, açık kaynaklı sürüm yamasız kaldı.
Sonuç olarak, Qualcomm ve MediaTek, hassas ALAC kod çözücülerini ses kod çözücülerine taşıyan yonga seti üreticileri ve araştırmacılara göre 2021’de satılan tüm akıllı telefonların üçte ikisinden fazlasının “ALHACK” olarak adlandırılan güvenlik açıklarına karşı savunmasız kalmasına neden oldu. Güvenlik açıkları, hem sorunları kabul eden hem de kusurlar için Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) atan Qualcomm ve MediaTek’e sorumlu bir şekilde açıklandı. MediaTek atandı CVE-2021-0674 ve CVE-2021-0675 (sırasıyla ‘Orta’ ve ‘Yüksek’ derecelendirmelerle), Qualcomm atanırken CVE-2021-30351 (‘Kritik’ derecesi 10 üzerinden 9,8 olan) ALAC kusurlarını düzeltmeden önce.
Araştırmacılara göre, her iki şirket de yazılımda yer alan kusurlar için yamalar yayınladı. Aralık 2021 Android güvenlik bülteni, yani Aralık ayı güvenlik yamalarını alan akıllı telefonları olan kullanıcıların güvenlik açıklarından korunması gerektiği anlamına geliyor. Ancak bu, eski yazılımları çalıştıran milyonlarca kullanıcıyı veya düzensiz güvenlik güncellemeleri alan kullanıcıları dışarıda bırakarak, onları saldırganlar tarafından ele geçirilme riskine sokar.
