Meldung

Sicherheitslücken in Apples Audio-Codec

Schwachstellen in den Audio-Decodern von Qualcomm und MediaTek haben potenziellen Angreifern jahrelang Zugriff auf Medien und Audiogespräche ermöglicht. Mehr als zwei Drittel aller Mobiltelefone weltweit sollen anfällig gewesen sein. Dem zugrunde liegt offenbar ein Code, der von Apple vor elf Jahren veröffentlicht, aber nicht gepflegt worden ist.
Im "Apple Lossless Audio Codec" klafften jahrelang Sicherheitslücken.
Die Schwachstellen wurden im "Apple Lossless Audio Codec" (ALAC) gefunden, der auch als Apple Lossless bekannt ist. ALAC ist ein bekanntes Format für die Audio-Codierung, das von Apple entwickelt und erstmals 2004 zur verlustfreien Datenkomprimierung von digitaler Musik eingeführt wurde. Ende 2011 stellte Apple den Codec als Open Source zur Verfügung.

Nicht gepflegter Code
Seitdem ist das ALAC-Format in viele Geräte und Programme zur Audiowiedergabe eingebettet worden, die nicht von Apple stammen, darunter Android-basierte Smartphones, Linux- und Windows-Mediaplayer und Konverter. Zwar hat Apple die proprietäre Version des Decoders mehrmals aktualisiert und Sicherheitslücken behoben, der gemeinsame Code wurde allerdings seit 2011 nicht mehr aktualisiert.

Viele Drittanbieter verwenden den von Apple bereitgestellten Code als Grundlage für ihre eigenen ALAC-Implementierungen und es ist anzunehmen, dass viele von ihnen den externen Code nicht pflegen. Security-Forscher von Check Point Researcht [1] haben herausgefunden, dass Qualcomm und MediaTek, zwei der weltweit größten Hersteller von Mobilfunk-Chipsätzen, den anfälligen ALAC-Code in ihre Audio-Decoder portiert haben, die in mehr als der Hälfte aller Smartphones weltweit eingesetzt werden. Laut IDC wurden im vierten Quartal 2021 stolze 48,1 Prozent aller in den USA verkauften Android-Telefone von MediaTek betrieben, während Qualcomm dort derzeit einen Marktanteil von 47 Prozent hält.

Mögliche Remote-Code-Ausführung
Die von den Forschern gefundenen ALAC-Probleme konnten von einem Angreifer für einen Remote-Code-Execution-Angriff (RCE) auf einem mobilen Gerät über eine fehlerhafte Audiodatei genutzt werden. RCE-Angriffe ermöglichen es einem Hacker, aus der Ferne einen bösartigen Code auf einem Computer auszuführen. Die Auswirkungen einer RCE-Schwachstelle können von der Ausführung von Malware bis hin zur Übernahme der Kontrolle über die Multimediadaten eines Benutzers reichen, einschließlich des Streamings von der Kamera eines infizierten Geräts. Außerdem könnte eine Android-Anwendung diese Schwachstellen ausnutzen, um ihre Berechtigungen zu erweitern und Zugriff auf Mediendaten und Benutzergespräche zu erhalten.

Check Point Research hat die Informationen an MediaTek und Qualcomm weitergegeben und nach eigenen Angaben eng mit beiden Anbietern zusammengearbeitet, um sicherzustellen, dass diese Schwachstellen behoben werden. MediaTek ordnete CVE-2021-0674 und CVE-2021-0675 den ALAC-Problemen zu. Die Schwachstellen wurden inzwischen behoben und im MediaTek Security Bulletin vom Dezember 2021 veröffentlicht. Qualcomm veröffentlichte den Patch für CVE-2021-30351 im Qualcomm Security Bulletin vom Dezember 2021.
21.04.2022/dr

Tipps & Tools

Naturkatastrophen treffen auf Disaster Recovery [12.05.2022]

Der Klimawandel macht auch vor Deutschland keinen Halt. Ob Flut, Waldbrand oder Tornado – derartige Naturkatastrophen lassen sich immer öfter beobachten und können für Unternehmen schwerwiegende Folgen nach sich ziehen. Besonders wenn das eigene Rechenzentrum oder das des Cloudanbieters betroffen ist, droht Datenverlust. Wie Disaster-Recovery-Pläne und darauf abgestimmte Backupsysteme bei einem Ernstfall helfen können, erläutert unser Fachartikel. [mehr]

Exchange verabschiedet Basic-Auth-Anmeldung im Herbst [10.05.2022]

Microsoft schaltet zum 1. Oktober das Basic-Auth-Verfahren zur Anmeldung an Exchange-Online-Postfächern ab. Das Authenifizierungsverfahren gilt als äußerst unsicher, da eine Klartextübertragung der Anmeldedaten, die lediglich Base64-kodiert sind, stattfindet. Diese Maßnahme war überfällig, denn laut Microsoft ist Basic-Auth eine der am häufigsten genutzten Schwachstellen zur Kompromittierung der Nutzerdaten – wobei die Anzahl der Angriffe darauf noch laut Redmond noch immer ansteigt. [mehr]

Fachartikel

Pass-the-Hash-Angriffe vermeiden (3) [16.05.2022]

Mit einer erfolgreichen Pass-the-Hash-Attacke wird ein Angreifer leicht Administrator der Windows-Domäne. Doch weil es technisch sehr schwierig ist, Inhalte des Arbeitsspeichers zu verteidigen, gibt es für die seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke keinen Patch, sondern nur Empfehlungen für eine bessere Organisation der IT. Denn der ursprünglich sehr aufwändige Pass-the-Hash-Angriff ist heutzutage nur noch eine Sache weniger Klicks. Im dritten und letzten Teil der Workshopserie geht es unter anderem darum, warum sie überflüssiges Clientgeschwätz abschalten und generell die Anzahl der Konten reduzieren sollten. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen