苹果开源技术让数百亿 Android 设备面临 RCE 风险


Apple Lossless Audio Codec(简称 ALAC)是苹果公司于 2004 年推出的无损音频编解码技术,苹果于 2011 年在 Apache-2.0 协议下开源了该技术。在尚未开源的时候,ALAC 主要用于苹果自己的 iPod、iPhone、Mac 等设备,如今开源后的 ALAC 已被许多厂商用于非苹果设备上。 虽说苹果开源了 ALAC,但在过去这么多年的时间里,苹果只改进了该编解码器的专有版本,而开源版本在过去 11 年中并未更新过。众所周知,一个项目长期不维护也就伴随着风险。 网络安全公司 Check Point 的研究人员近日发现,开源的 ALAC 存在严重的漏洞,该漏洞允许攻击者在受影响的设备上进行远程代码执行(RCE)攻击。而联发科和高通这两大移动芯片制造商都在旗下的音频解码器中使用了相关代码。 根据市场研究机构在 2021 年 Q4 的调查,联发科和高通是目前市场占有率排名第一和第二的两家移动芯片制造商,两者的市场份额相加已超过 60%。正因如此,Check Point 预计 2021 销售的 Android 手机中,三分之二都受到该漏洞的影响(还不包括更老旧的 Android 型号)。 而 IDC 在 2021 年统计的手机出货量数据显示,2021 年全球手机出货量为 13.5 亿部,排除掉苹果后仍有 11 亿部,粗略计算一下受影响的 Android 手机也超过 7 亿部(下图中的数量单位为 “百万”)。 Check Point 表示,这个名为 ALHACK 的漏洞会使 Android 用户的隐私面临风险。这些漏洞可以通过专门制作的音频文件来触发,可以引发远程代码执行。 Check Point 在博文中解释道:
RCE 漏洞的影响范围从恶意软件执行到攻击者获得对用户多媒体数据的控制。此外,没有特权的 Android 应用可以利用这些漏洞提升其权限,获得对媒体数据和用户会话的访问权。
联发科与高通已于 2021 年 12 月发布补丁,修复了该漏洞(高通将该漏洞的严重性评为 9.8 分,满分 10 分)。据联发科称,漏洞影响了运行 Android 8.1、9.0、10.0 和 11.0 版本的设备中使用的数十款联发科芯片。 熟悉 Android 的用户都知道,Android 的版本更新和安全修复存在严重的碎片化现象,Google 和芯片厂商无法直接推送这些更新内容,Android 手机的更新通常是交由各个厂商自己负责,一般情况下也只有 Google 自己的 Pixel 和三星等大厂近几年的产品才能获得更新。 不过话又说回来,高通和联发科作为目前市场上的两大移动芯片厂商,可以说是人才济济,财力雄厚,但他们并未向所依赖的代码提供贡献,看起来似乎也没严格审查相关代码的安全性。

相關推薦

2023-10-09

enied | www.bleepingcomputer.com used Cloudflare to restrict access】 5. 苹果谷歌漏洞披露不充分,使腾讯QQ等数百万应用面临潜在风险 安全研究员指出,苹果和谷歌近期披露的产品零日漏洞不完整,可能隐藏了一个上游开源库libwebp的漏洞,

2023-11-07

ozilla 计划在 Firefox 120 版本发布 (预计于 11 月 21 日) 后为 Android 版 Firefox 提供浏览器扩展,并督促开发者评估其扩展代码,为此做好准备。 在 Firefox 120 的发布周期中,我们将开始在 addons.mozilla.org (AMO) 上看到数十个新的、可

2022-12-07

移动网络运营商(包括国内三大运营商)、 500 多家 Android 设备制造商(小米、HTC、索尼、LG、华为、OPPO 、三星和中兴等)的支持。 在博文中,Google 集团产品经理 Neena Budhiraja 列举了 RCS 标准对比 SMS 的三大好处: RCS

2023-01-30

步成为全球科技界的热门概念,科技巨头如 Meta、谷歌、苹果、华为、腾讯、OPPO 等均已在积极布局相关产业,其中一个关键技术就是 3D 引擎,无论是智慧城市、构建虚拟空间、工业设计还是高度真实的沉浸式用户体验都离不开

2022-10-16

步成为全球科技界的热门概念,科技巨头如 Meta、谷歌、苹果、华为、腾讯、OPPO 等均已在积极布局相关产业,其中一个关键技术就是 3D 引擎,无论是智慧城市、构建虚拟空间、工业设计还是高度真实的沉浸式用户体验都离不开

2022-08-24

微软方面近日公布了他们发现的有关 ChromeOS 漏洞的技术细节。公告指出,该公司在 ChromeOS 组件中发现了一个可以远程触发的内存损坏漏洞,允许攻击者执行拒绝服务 (DoS) 攻击,或者在极端情况下执行远程代码执行 (RCE)。 微软

2023-10-18

中心,打造人车家全生态操作系统」。基于深度进化的 Android 以及自研的 Vela 系统融合,彻底重写底层架构,为未来百亿设备、百亿连接做好了万物互联的公有底座。

2022-10-26

代操作系统方向 统信软件研发中心副总经理李慧分享了开源操作系统架构新思路——基于分层分类的操作系统解析与设计。他讲述了在“大集市”与“大教堂”开发模式下,如何汲取开源社区演进式开发的精华,结合大型软件

2022-04-01

在有条件的情况下,尽快升到最新版本来避免可能存在的风险发生。 解决方案 因为这次不是网传,而是 Spring 官宣,所以解决方案已经相对完善和容易了,受影响的用户可以通过下面的方法解决该漏洞的风险: Spring 5.3.x用户

2022-03-31

近日,最受欢迎的开源轻量级 Java 框架 Spring 被曝存在高危的 RCE(远程控制设备) 零日漏洞 ,、外媒 、 等站点对该漏洞进行了报道。 据网上疯传的介绍,该 RCE 漏洞源于 Spring 框架核心的 SerializationUtils#dserialize 方法,该方

2023-11-11

ega”,以便在 Fire TV、智能显示器和其他联网设备上取代 Android 系统。 一直以来,亚马逊的一些智能家居设备都使用了名为 Fire OS 的 Android 分叉版本。但也正是因为依赖 Android 开源项目来构建 Fire OS,导致该公司操作系统的开发

2022-09-16

更高效。 Google 开发技术推广工程师陈卓与大家分享了 Android 的最新动态。Android 13 已正式推出,该版本加入了对隐私、生产力和现代标准的支持和增强,以帮助开发者更轻松地构建优质应用与产品。 现代 Android 开发

2023-04-22

。Galaxy 设备包括了智能手机和平板电脑。三星是最大的 Android 设备制造商,每年生产数亿部搭载 Android 系统的智能手机。谷歌在了解三星与微软的谈判之后进入“恐慌”状态。因为此举涉及到谷歌大约 30 亿美元的收入。还有一

2023-09-22

年似乎是一个不错的支持窗口;但对于基于 Linux 打造的 Android 移动操作系统来说,却不尽然。2017 年,Google 开发者 Iliyan Malchev 在一次 Android Linux 演讲中宣布 Linux 内核的 LTS 期限从两年延长至六年;彼时的这一扩展主要就是考虑