この重大なバグはAndroidでメディアファイルにアクセスできる可能性があります

Apple Lossless Audio Codec (ALAC)を使用している場合、あなたはターゲットになる可能性があります。どうやら、セキュリティ研究者たちは、Apple Lossless Audio Codec (ALAC)を使用しているQualcommおよびMediaTek SoC搭載デバイスが、実装の欠陥によりリモートコード実行に対して脆弱であることを発見しました。

Appleは2011年にALACと呼ばれるオープンソースのロスレスオーディオ圧縮をリリースし、常にセキュリティ修正やその他の更新を行っています。

しかし、一部のベンダーはこのコーデックのアップグレードを行わず、残念ながらそれにはQualcommとMediaTekも含まれています。参考までに、これらは市場に出回っているユニットの大きなシェアを持つ2つの最大のチップセットメーカーです。

目次

• AndroidにおけるALACコーディングの欠陥
• Androidデバイスを保護する方法は？

AndroidにおけるALACコーディングの欠陥

現在のところ利用可能な詳細によれば、ALAC形式で見つかった脆弱性は、攻撃者がターゲットデバイス上で実行可能なコードをリリースすることに関係しています。このファイルはALHACKという名前のオーディオファイルとして偽装されており、ユーザーは悪意のあるコードを含むファイルを開くように誘導されます。

アクセスされると、悪意のあるコードは自らを実行し、デバイス設定の変更からデータ漏洩、ユーザーのプライバシーとセキュリティを侵害するハードウェアコンポーネントへのアクセス、さらにはアカウントの乗っ取りに至るまで、さまざまな深刻な問題を引き起こす可能性があります。

アナリストたちは、2022年5月に開催されるCanSecWestイベントでこの脆弱性に関する詳細を発表する予定です。

これまでのところ、2021年12月時点でQualcommとMediaTekの両方によって脆弱性は修正されています。同じCVE-2021-0675、CVE-2021-0674、およびCVE-2021-30351を追跡できます。しかし、Bleeping Computerが言うように、両方のチップセットによって提案された実装は、境界外の読み取りおよび書き込みの影響を受ける可能性があります。

これにより、情報漏洩が引き起こされ、潜在的な脅威者が影響を受けたデバイス上で高い権限を得ることができる可能性があります。

Androidデバイスを保護する方法は？

この脆弱性から先手を打ち、自由でいるためのいくつかの方法があります。その一つは、デバイスのAndroid OSを2021年12月以降のセキュリティパッチで更新することです。

デバイスがもはやセキュリティ更新を受け取らない場合、サードパーティのAndroidディストリビューションからAndroidの更新を取得するオプションがあります。通常通り、未知または無制限のオーディオファイルを開いたりアクセスしたりすることは脅威であり、送信者が不明な場合は避けるべきです。