Apple Lossless Audio Codec(ALAC)のバグは、2021年に販売されたAndroid端末の3分の2に影響を与え、パッチが適用されていない端末は乗っ取られる危険性があります。
ALACは、2004年にAppleがiTunes用に開発したオーディオフォーマットで、可逆データ圧縮を提供します。
2011年にAppleがこの形式をオープンソース化した後、世界中の企業がこの形式を採用しました。
しかし、チェック・ポイント・リサーチが指摘するように、Appleは自社版のALACを長年にわたって更新してきましたが、オープンソース版は2011年に公開されて以来、セキュリティ修正プログラムが更新されていませんでした。
その結果、Qualcomm社やMediatek社製のチップセットに、パッチが適用されていない脆弱性が含まれていたのです。
チェック・ポイントの調査によると、MediatekとQualcommの両社は、自社のチップのオーディオ・デコーダーに、漏洩したALACコードを組み込んでいました。
このため、ハッカーは、不正なオーディオ・ファイルを使用して、リモート・コード実行攻撃(RCE)を行うことができます。
RCEは、デバイスへの物理的なアクセスを必要とせず、リモートで実行できるため、最も危険なエクスプロイト(脆弱性を利用するコード)の一種と考えられています。
ハッカーは、この不正な音声ファイルを使用して、悪意のあるコードを実行し、ユーザーのメディアファイルを制御し、カメラのストリーミング機能にアクセスすることができます。
また、この脆弱性を利用して、Androidアプリに追加権限を付与し、ユーザーの会話にアクセスすることも可能です。
モバイル・チップ市場におけるMediatekとQualcommの地位を考慮すると、チェック・ポイント・リサーチは、この脆弱性が2021年に販売されるすべてのAndroid携帯電話の3分の2に影響を及ぼすと見ています。
幸いなことに、両社は同年12月にパッチを発行し、端末メーカーに送付しています。
それにもかかわらず、この脆弱性は、QualcommとMediatekが実装するコードのセキュリティを確保するために取っている対策に深刻な疑問を投げかけています。
Appleは問題なくALACコードを更新して脆弱性に対処したのに、なぜQualcommとMediatekは同じことをしなかったのでしょうか?
なぜ、この2社は10年前のコードに依存し、安全性と最新性を確保しようとしなかったのでしょうか?
最も重要なことは、同様の脆弱性を持つフレームワーク、ライブラリ、コーデックが他に使用されていないかということです。
