苹果开源技术让数百亿 Android 设备面临 RCE 风险


Apple Lossless Audio Codec(简称 ALAC)是苹果公司于 2004 年推出的无损音频编解码技术,苹果于 2011 年在 Apache-2.0 协议下开源了该技术。在尚未开源的时候,ALAC 主要用于苹果自己的 iPod、iPhone、Mac 等设备,如今开源后的 ALAC 已被许多厂商用于非苹果设备上。 虽说苹果开源了 ALAC,但在过去这么多年的时间里,苹果只改进了该编解码器的专有版本,而开源版本在过去 11 年中并未更新过。众所周知,一个项目长期不维护也就伴随着风险。 网络安全公司 Check Point 的研究人员近日发现,开源的 ALAC 存在严重的漏洞,该漏洞允许攻击者在受影响的设备上进行远程代码执行(RCE)攻击。而联发科和高通这两大移动芯片制造商都在旗下的音频解码器中使用了相关代码。 根据市场研究机构在 2021 年 Q4 的调查,联发科和高通是目前市场占有率排名第一和第二的两家移动芯片制造商,两者的市场份额相加已超过 60%。正因如此,Check Point 预计 2021 销售的 Android 手机中,三分之二都受到该漏洞的影响(还不包括更老旧的 Android 型号)。 而 IDC 在 2021 年统计的手机出货量数据显示,2021 年全球手机出货量为 13.5 亿部,排除掉苹果后仍有 11 亿部,粗略计算一下受影响的 Android 手机也超过 7 亿部(下图中的数量单位为 “百万”)。 Check Point 表示,这个名为 ALHACK 的漏洞会使 Android 用户的隐私面临风险。这些漏洞可以通过专门制作的音频文件来触发,可以引发远程代码执行。 Check Point 在博文中解释道:
RCE 漏洞的影响范围从恶意软件执行到攻击者获得对用户多媒体数据的控制。此外,没有特权的 Android 应用可以利用这些漏洞提升其权限,获得对媒体数据和用户会话的访问权。
联发科与高通已于 2021 年 12 月发布补丁,修复了该漏洞(高通将该漏洞的严重性评为 9.8 分,满分 10 分)。据联发科称,漏洞影响了运行 Android 8.1、9.0、10.0 和 11.0 版本的设备中使用的数十款联发科芯片。 熟悉 Android 的用户都知道,Android 的版本更新和安全修复存在严重的碎片化现象,Google 和芯片厂商无法直接推送这些更新内容,Android 手机的更新通常是交由各个厂商自己负责,一般情况下也只有 Google 自己的 Pixel 和三星等大厂近几年的产品才能获得更新。 不过话又说回来,高通和联发科作为目前市场上的两大移动芯片厂商,可以说是人才济济,财力雄厚,但他们并未向所依赖的代码提供贡献,看起来似乎也没严格审查相关代码的安全性。

相关文章

2022-08-24

微软方面近日公布了他们发现的有关 ChromeOS 漏洞的技术细节。公告指出,该公司在 ChromeOS 组件中发现了一个可以远程触发的内存损坏漏洞,允许攻击者执行拒绝服务 (DoS) 攻击,或者在极端情况下执行远程代码执行 (RCE)。 微软

2022-09-16

更高效。 Google 开发技术推广工程师陈卓与大家分享了 Android 的最新动态。Android 13 已正式推出,该版本加入了对隐私、生产力和现代标准的支持和增强,以帮助开发者更轻松地构建优质应用与产品。 现代 Android 开发

2022-04-01

在有条件的情况下,尽快升到最新版本来避免可能存在的风险发生。 解决方案 因为这次不是网传,而是 Spring 官宣,所以解决方案已经相对完善和容易了,受影响的用户可以通过下面的方法解决该漏洞的风险: Spring 5.3.x用户

2022-03-31

近日,最受欢迎的开源轻量级 Java 框架 Spring 被曝存在高危的 RCE(远程控制设备) 零日漏洞 ,、外媒 、 等站点对该漏洞进行了报道。 据网上疯传的介绍,该 RCE 漏洞源于 Spring 框架核心的 SerializationUtils#dserialize 方法,该方

2022-04-14

开放核心 (Open Core) 技术的企业明确表示希望转向纯粹的开源 (Open Source) 的替代品,但有 70% 的企业在公司间战略和支持方面存在障碍。该报告比较了使用 FOSS 与开放核心软件之间的优势,基于对 322 位全球应用程序开发决策

2022-10-04

Android 13 已于一个多月前发布,谷歌方面现如今则在积极地开发 Android 14 中。最新消息指出,新版本似乎将强制所有设备使用 AV1 编解码器。此前,设备只需要支持 VP8 和 VP9(AV1 的前身),谷歌希望依赖 AV1 以节省带宽和存储

2022-05-07

总监 Sampath Srinivas在一篇博客中宣布:“谷歌很快就会在 Android 和 Chrome 中实现 FIDO 无密码功能支持”,苹果和微软也声称将为其Windows、iOS、Edge 等主流平台提供 FIDO 无密码登陆支持,该无密码功能预计将在明年提供。

2022-02-11

用程序具有战略意义,未来 IT 战略和应用程序组合与新技术的一致性被列为 COBOL 现代化的关键驱动因素。COBOL 应用程序的现代化是前进的首选路径:与淘汰和替换方法相反,64% 的受访者打算对其 COBOL 应用程序进行现代化改造

2022-05-17

据俄罗斯媒体 kommersant 报道,自 5 月 9 日谷歌发布 Android  Chrome 101 版本后,大量俄罗斯用户在  Google Play 应用商店和社交软件中发声投诉,称其  Android 设备无法通过 Google Play 商店更新 Chrome 浏览器和 Android System WebView

2022-09-20

: 治理挑战 1、如何引导开发并保持 Rust 的开放性? 开源工作中,在什么是对项目最有利的,以及什么是志愿贡献者想做的之间总存在着一些矛盾。现在,随着 Rust 社区逐渐发展壮大且 Mozilla 结束直接支持,Rust 中的这种紧张

2022-07-19

间没有更新,并且此次删除的代码是让 Fuchsia 支持运行 Android 应用时所采用的旧方法,Google 正致力于以新方式在 Fuchsia 系统中运行 Android 应用。 在 2016 年,Google 就在 GitHub 上提交了 Fuchsia OS 的代码,也正是在那个时候,Fuchsia

2022-07-12

是为计划运行在 Xbox 上的,名称也由此而来。随后有了 Android、Linux、BSD、macOS、iOS 和 Windows 操作系统的原生版。 Kodi "Nexus" Alpha 2(20.x 系列)发布,以下是本次更新值得关注的地方: 特定平台 Android 修复了 Kodi Android 应

2022-04-12

谷歌宣布了针对 Android 应用程序开发人员的几项关键策略变更,以提高用户、Google Play 和该服务提供的应用的安全性。将在 2022 年 5 月 11 日至 11 月 1 日之间生效,给开发者足够的时间来适应新的变化。 根据 BleepingComputer 介绍

2022-10-06

够真正面向消费者推出,目前仍然没有确定的时间表。但苹果、亚马逊和 Google 等公司均已表示将更新旗下产品以支持 Matter。 Matter 1.0 将支持各种各样的智能家居设备,其中包括照明、HVAC、传感器、门锁、电视音响在内的媒