安全研究人员发现了音频编码格式中的一个漏洞,黑客可以利用这个漏洞远程攻击安卓手机,只需发送恶意音频文件即可。
据安全公司Check Point称,该漏洞涉及苹果无损音频编解码器(ALAC),该公司去年发现了这个问题。该编解码器是开源的,广泛用于非iphone设备,包括Android智能手机。
据Check Point称,多年来,苹果一直在更新ALAC的专有版本,但自2011年以来,开源版本一直没有打补丁。这导致安全公司发现了一对大公司如何实施ALAC的严重漏洞。
该安全公司表示:“Check Point Research发现,全球最大的两家移动芯片组制造商高通(Qualcomm)和联发科(MediaTek)将易受攻击的ALAC代码移植到他们的音频解码器中,而全球一半以上的智能手机都在使用这种解码器。写了(在新窗口中打开)在一篇博文中。
安全公告Qualcomm(在新窗口中打开)和联发科(在新窗口中打开)该漏洞影响了两家公司的数十个芯片组,包括骁龙888和865,这意味着数百万部安卓智能手机受到影响。
该漏洞可以帮助攻击者通过发送恶意制作的音频文件来远程执行Android手机上的计算机代码,从而触发ALAC漏洞。从那里,黑客可以尝试在设备上安装额外的恶意软件或试图访问摄像头。
Check Point表示,现有的移动应用程序也可以利用这一漏洞,在不征求用户许可的情况下访问受影响的安卓智能手机的媒体文件夹。
好消息是,在问题首次被报道后,高通和联发科在去年12月修补了这个漏洞。Check Point还发现,没有证据表明黑客曾利用过这个漏洞。
为了确保你受到保护,你应该检查你的手机是否收到了“2021-12-05”或更高版本的安卓安全补丁(在新窗口中打开)。这通常可以通过进入手机的设置面板,然后进入“关于手机”,检查安卓版本来完成。
影响高通设备的漏洞被命名为CVE-2021-30351。同时,联发科已将CVE-2021-0674和CVE-2021-0675作为该漏洞的官方名称。Check Point计划在5月18日至20日举行的CanSecWest会议上公布有关该软件漏洞的更多细节。
高通在一份声明中表示:“我们赞扬Check Point Technologies的安全研究人员采用了行业标准的协同披露做法。关于他们披露的ALAC音频解码器问题,高通技术公司于2021年10月向设备制造商提供了补丁。我们鼓励终端用户更新他们的设备,因为安全更新已经可用。”