Android-смартфонах с чипами Qualcomm и MediaTek нашли серьёзную уязвимость

Уязвимость связана с кодеком ALAC.

Это не одна уязвимость, а целых три. Все они связаны с реализацией кодека ALAC на Android-смартфонах. Вообще, ALAC расшифровывается как Apple Lossless Audio Codec и представляет собой эппловский аналог FLAC — формата, который позволяет передавать музыку без сжатия.

Apple сделала исходный код общедоступным ещё в 2011 году, продолжая обновлять его внутреннюю версию. То есть компания исправляла уязвимости только в своей версии. Это абсолютно нормальная практика. Так, например, Google исправляет уязвимости собственной версии Android, но не работает над Open-Source версии этой операционки.

А вот производители Android-смартфонов и чипов вроде Qualcomm и MediaTek не сильно беспокоились о безопасности. Так, например, злоумышленник мог разослать пользователям заражённый музыкальный трек в ALAC. Пользователь, запустив его, давал доступ к своему смартфону. Злоумышленник мог удалённо запустить вредоносный код. Как подчёркивают эксперты Check Point Research, таким образом можно получить доступ практически к любым данным — включая потоковую передачу с камеры смартфона.

Какие смартфоны уязвимы?

Точное их количество неизвестно. Однако Check Point Research утверждает, что это порядка 2/3 всех проданных смартфонов в 2021 году. Судя по всему, речь идёт вообще обо всех Android-устройствах с чипами Qualcomm и MediaTek.

Уязвимость исправили?

Хорошая новость заключается в том, что MediaTek и Qualcomm выпустили соответствующие исправления ещё в декабре прошлого года. Таким образом, если на устройстве установлено обновление безопасности от декабря 2021-го или новее, то пользователю ничего не угрожает. Однако существует огромное количество гаджетов, поддержка которых была завершена до указанной даты.