账号:
密码:
CTIMES/SmartAuto / 新闻 /
Check Point Research:全球三分之二Android使用者隐私漏洞风险高
 

【CTIMES / SMARTAUTO ABC_1 报导】    2022年04月29日 星期五

浏览人次:【6628】
  

在手机中常储存着许多个人的音讯及视讯等媒体服务,而骇客入侵与攻击能透过网路找到此漏洞成功窃取这些资讯,Check Point Software的威胁情报部门Check Point Research 在高通(Qualcomm)和联发科(MediaTek)的音讯解码器(Audio Decoder)中发现漏洞。此漏洞是因为高通及联发科采用Apple开源的音讯解码器,内含漏洞将导致音讯及视讯资料外泄;若未及时修补,攻击者将能够远端存取媒体和对话音讯,或透过恶意远端程式码执行(RCE)威胁全球三分之二的行动装置。

/news/2022/04/29/1954382320S.jpg

Apple开发的保真压缩音讯编解码器(Apple Lossless Audio Codec; ALAC)是一种音讯编码格式,於2004 年首次推出,用於数位音乐的保真音讯压缩,并於2011年底开源。ALAC格式自此被应用於许多非Apple 音讯播放设备和程式中,包括Android智慧型手机、Linux和Windows媒体播放器及转换器。此後Apple 多次更新并修补其私有版本的解码器,但开源版本自2011年以来就未再更新;Check Point Research团队发现,高通和联发科都在其音讯解码器中采用了含有安全漏洞的ALAC。

此漏洞可能被攻击者用於远端程式码执行,透过异常音讯档对行动装置发起攻击;此类型漏洞影响层面广,包含恶意软体执行和攻击者能成功控制使用者的多媒体资料,例如能串流受攻击装置的摄影画面等。此外,权限较低的Android应用程式可利用这些漏洞提升权限,并存取使用者的媒体资料和对话纪录。

Check Point Research逆向工程和安全研究部Slava Makkaveev指出:「这组漏洞能让攻击者在全球三分之二的行动装置上远端执行及提升权限,且这些漏洞很容易被利用,受害者只要播放攻击者传送的一首歌曲(媒体档案),恶意程式码便能成功注入权限较高的媒体服务中。攻击者将能看到使用者在手机上查找的资讯;而在Check Point Research的概念验证(PoC)中,我们也证实能够直接串流受害手机的摄影画面。其中易受攻击的解码器正是源自於 Apple 11年前开源的程式码。」

Check Point Research与联发科和高通密切合作,以确保尽快修复这些漏洞。联发科将漏洞命名为CVE-2021-0674和CVE-2021-0675,目前这些漏洞已修复,并发布在2021 年12月联发科产品安全布告栏中;高通则在2021年12月高通安全布告栏中发布了CVE-2021-30351的修补程式。Check Point Software 建议使用者可依循Google每月发布的安全性公告更新手机。

關鍵字: 音讯解码器  远程访问  Qualcomm  联发科  Check Point Software 
相关新闻
高通推出AI叠层产品组合 扩展在连结智慧边缘的领导地位
联发科旗舰5G行动平台再升级 天玑9000+以更高时脉冲性能
高通收购Cellwize 强化5G基础建设解决方案
Check Point Harmony Mobile强化行动安全 守护使用者免於恶意档案攻击
第三届高通台湾研发合作计画展示成果 推动创新技术发展
comments powered by Disqus
相关讨论
  相关新品
Pad(MID) SiP Turnkey Solution
原厂/品牌:鉅景
供应商:鉅景
產品類別:RF
  相关产品
» 凌华推出SMARC小尺寸电脑模组 具高效能AI和图形运算能力
» ??侠PCIe/NVMe卸除式存放装置符合JEDEC标准
» IAR Systems发表最新版完整开发工具链加速创新
» NetApp为分布式工作环境提供云桌面即服务解决方案
» 圆刚推出首款企业级4K网路摄影机 Intel显示卡优化效能
  相关文章
» 移动演算法 而非巨量资料
» 应对5G闸道器储存中的安全挑战
» 与病毒共存的COMPUTEX少了人潮多了看展乐趣!
» 物联网技术促进节能减排
» 5G专网的三大部署攻略


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2022 远播信息股份有限公司版权所有 Powered by O3
地址:台北市中山北路三段29号11楼 / 电话 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw