von Redaktion IT-A…
Lesezeit
1 Minute
Sicherheitslücken in Apples Audio-Codec
Schwachstellen in den Audio-Decodern von Qualcomm und MediaTek haben potenziellen Angreifern jahrelang Zugriff auf Medien und Audiogespräche ermöglicht. Mehr als zwei Drittel aller Mobiltelefone weltweit sollen anfällig gewesen sein. Dem zugrunde liegt offenbar ein Code, der von Apple vor elf Jahren veröffentlicht, aber nicht gepflegt worden ist.
Die Schwachstellen wurden im "Apple Lossless Audio Codec" (ALAC) gefunden, der auch als Apple Lossless bekannt ist. ALAC ist ein bekanntes Format für die Audio-Codierung, das von Apple entwickelt und erstmals 2004 zur verlustfreien Datenkomprimierung von digitaler Musik eingeführt wurde. Ende 2011 stellte Apple den Codec als Open Source zur Verfügung.
Nicht gepflegter Code
Seitdem ist das ALAC-Format in viele Geräte und Programme zur Audiowiedergabe eingebettet worden, die nicht von Apple stammen, darunter Android-basierte Smartphones, Linux- und Windows-Mediaplayer und Konverter. Zwar hat Apple die proprietäre Version des Decoders mehrmals aktualisiert und Sicherheitslücken behoben, der gemeinsame Code wurde allerdings seit 2011 nicht mehr aktualisiert.
Viele Drittanbieter verwenden den von Apple bereitgestellten Code als Grundlage für ihre eigenen ALAC-Implementierungen und es ist anzunehmen, dass viele von ihnen den externen Code nicht pflegen. Security-Forscher von Check Point Researcht [1] haben herausgefunden, dass Qualcomm und MediaTek, zwei der weltweit größten Hersteller von Mobilfunk-Chipsätzen, den anfälligen ALAC-Code in ihre Audio-Decoder portiert haben, die in mehr als der Hälfte aller Smartphones weltweit eingesetzt werden. Laut IDC wurden im vierten Quartal 2021 stolze 48,1 Prozent aller in den USA verkauften Android-Telefone von MediaTek betrieben, während Qualcomm dort derzeit einen Marktanteil von 47 Prozent hält.
Mögliche Remote-Code-Ausführung
Die von den Forschern gefundenen ALAC-Probleme konnten von einem Angreifer für einen Remote-Code-Execution-Angriff (RCE) auf einem mobilen Gerät über eine fehlerhafte Audiodatei genutzt werden. RCE-Angriffe ermöglichen es einem Hacker, aus der Ferne einen bösartigen Code auf einem Computer auszuführen. Die Auswirkungen einer RCE-Schwachstelle können von der Ausführung von Malware bis hin zur Übernahme der Kontrolle über die Multimediadaten eines Benutzers reichen, einschließlich des Streamings von der Kamera eines infizierten Geräts. Außerdem könnte eine Android-Anwendung diese Schwachstellen ausnutzen, um ihre Berechtigungen zu erweitern und Zugriff auf Mediendaten und Benutzergespräche zu erhalten.
Check Point Research hat die Informationen an MediaTek und Qualcomm weitergegeben und nach eigenen Angaben eng mit beiden Anbietern zusammengearbeitet, um sicherzustellen, dass diese Schwachstellen behoben werden. MediaTek ordnete CVE-2021-0674 und CVE-2021-0675 den ALAC-Problemen zu. Die Schwachstellen wurden inzwischen behoben und im MediaTek Security Bulletin vom Dezember 2021 veröffentlicht. Qualcomm veröffentlichte den Patch für CVE-2021-30351 im Qualcomm Security Bulletin vom Dezember 2021.
dr
[1] https://blog.checkpoint.com/2022/04/21/[...]
Nicht gepflegter Code
Seitdem ist das ALAC-Format in viele Geräte und Programme zur Audiowiedergabe eingebettet worden, die nicht von Apple stammen, darunter Android-basierte Smartphones, Linux- und Windows-Mediaplayer und Konverter. Zwar hat Apple die proprietäre Version des Decoders mehrmals aktualisiert und Sicherheitslücken behoben, der gemeinsame Code wurde allerdings seit 2011 nicht mehr aktualisiert.
Viele Drittanbieter verwenden den von Apple bereitgestellten Code als Grundlage für ihre eigenen ALAC-Implementierungen und es ist anzunehmen, dass viele von ihnen den externen Code nicht pflegen. Security-Forscher von Check Point Researcht [1] haben herausgefunden, dass Qualcomm und MediaTek, zwei der weltweit größten Hersteller von Mobilfunk-Chipsätzen, den anfälligen ALAC-Code in ihre Audio-Decoder portiert haben, die in mehr als der Hälfte aller Smartphones weltweit eingesetzt werden. Laut IDC wurden im vierten Quartal 2021 stolze 48,1 Prozent aller in den USA verkauften Android-Telefone von MediaTek betrieben, während Qualcomm dort derzeit einen Marktanteil von 47 Prozent hält.
Mögliche Remote-Code-Ausführung
Die von den Forschern gefundenen ALAC-Probleme konnten von einem Angreifer für einen Remote-Code-Execution-Angriff (RCE) auf einem mobilen Gerät über eine fehlerhafte Audiodatei genutzt werden. RCE-Angriffe ermöglichen es einem Hacker, aus der Ferne einen bösartigen Code auf einem Computer auszuführen. Die Auswirkungen einer RCE-Schwachstelle können von der Ausführung von Malware bis hin zur Übernahme der Kontrolle über die Multimediadaten eines Benutzers reichen, einschließlich des Streamings von der Kamera eines infizierten Geräts. Außerdem könnte eine Android-Anwendung diese Schwachstellen ausnutzen, um ihre Berechtigungen zu erweitern und Zugriff auf Mediendaten und Benutzergespräche zu erhalten.
Check Point Research hat die Informationen an MediaTek und Qualcomm weitergegeben und nach eigenen Angaben eng mit beiden Anbietern zusammengearbeitet, um sicherzustellen, dass diese Schwachstellen behoben werden. MediaTek ordnete CVE-2021-0674 und CVE-2021-0675 den ALAC-Problemen zu. Die Schwachstellen wurden inzwischen behoben und im MediaTek Security Bulletin vom Dezember 2021 veröffentlicht. Qualcomm veröffentlichte den Patch für CVE-2021-30351 im Qualcomm Security Bulletin vom Dezember 2021.
dr
[1] https://blog.checkpoint.com/2022/04/21/[...]
