ALAC音頻格式存漏洞，全球超半數 Android 用戶隱私受威脅

4月21日，Check Point在其官方博客披露，研究人員在去年發現了 ALAC 格式的漏洞，這些漏洞可能導致攻擊者遠程訪問目標設備中的媒體和音頻對話。

ALAC是蘋果公司2004年開發的一種無損音頻格式，并于2011年正式開源。Check Point 發現，全球最大的兩家移動芯片組制造商——高通和聯發科都將易受攻擊的 ALAC 代碼移植到其音頻解碼器中，全球一半以上的智能手機都在使用這些解碼器。

研究人員發現，該漏洞會讓攻擊者利用格式錯誤的音頻文件，在目標設備上執行遠程代碼執行攻擊 (RCE)，并可進一步控制用戶的多媒體數據，包括利用設備的攝像頭拍攝音視頻。此外，該漏洞允許特定安卓應用提權，并獲得對媒體數據和用戶對話的訪問權。

Check Point已向聯發科和高通共享了調查結果，協助處理漏洞問題。聯發科將 ALAC 漏洞跟蹤為 CVE-2021-0674 和 CVE-2021-0675，而高通將其跟蹤為 CVE-2021-30351。這些漏洞已在2021年12月得到了修復。

CheckPoint 的研究人員沒有透露該漏洞的更多細節以避免在野外被利用，但他們計劃在 2022 年 5 月即將舉行的 CanSecWest 公布更加詳細的信息。