histats

Les erreurs de format audio ont exposé des millions de téléphones Android au piratage à distance

Les erreurs de format audio ont exposé des millions de téléphones Android au piratage à distance

Des chercheurs en sécurité ont découvert une faille dans un format de codage audio qui aurait pu être exploitée pour aider les pirates à attaquer à distance les téléphones Android en envoyant un fichier audio malveillant.

Le bogue impliquait le Apple Lossless Audio Codec (ALAC), selon la société de sécurité Check Point, qui a découvert le problème l’année dernière. Le codec est open source et est largement utilisé sur les appareils non iPhone, y compris les smartphones Android.

Depuis de nombreuses années, Apple a mis à jour la version propriétaire de l’ALAC, mais la version open source est obsolète depuis 2011, selon Check Point. Cela a conduit la société de sécurité à révéler une grave vulnérabilité dans la manière dont quelques grandes entreprises ont mis en œuvre l’ALAC.

“Check Point Research a découvert que Qualcomm et MediaTek, deux des plus grands fabricants de chipsets mobiles au monde, ont porté le code ALAC vulnérable dans leurs encodeurs audio, qui sont utilisés dans plus de la moitié de tous les smartphones dans le monde”, a écrit la société de sécurité. .(Ouvre dans une nouvelle fenêtre) dans un article de blog.

Bulletins de sécurité de Qualcomm(Ouvre dans une nouvelle fenêtre) et MediaTek(Ouvre dans une nouvelle fenêtre) indique que le bogue a affecté des dizaines de chipsets des deux sociétés, y compris Snapdragon 888 et 865, ce qui signifie que des millions de smartphones Android ont été affectés.

La vulnérabilité pourrait aider un attaquant à exécuter à distance du code informatique sur un téléphone Android en envoyant un fichier audio malveillant qui pourrait déclencher l’erreur ALAC. À partir de là, le pirate peut essayer d’installer un logiciel malveillant supplémentaire sur l’appareil ou essayer d’accéder à la caméra.

See also  Supprimez ces applications Android avant qu'elles ne volent votre mot de passe Facebook et votre crypto

Selon Check Point, les applications mobiles existantes peuvent également exploiter le bogue pour accéder au dossier multimédia d’un smartphone Android concerné sans demander l’autorisation de l’utilisateur.

La bonne nouvelle est que Qualcomm et MediaTek ont ​​résolu le problème en décembre après que le problème a été signalé pour la première fois. Check Point n’a également trouvé aucune preuve que des pirates aient jamais exploité la vulnérabilité.

Recommandé par nos rédacteurs

Pour vous assurer que vous êtes protégé, vous devez vérifier si votre téléphone a reçu la mise à jour de sécurité Android “2021-12-05” ou ultérieure(Ouvre dans une nouvelle fenêtre). Cela peut généralement être fait en accédant au panneau Paramètres du téléphone, puis en allant dans “À propos du téléphone” et en vérifiant la version Android.

Le bogue affectant les appareils Qualcomm a été nommé CVE-2021-30351. Pendant ce temps, MediaTek a attribué CVE-2021-0674 et CVE-2021-0675 comme désignations officielles de la vulnérabilité. Check Point prévoit de révéler plus de détails sur le bogue logiciel lors de la conférence CanSecWest, prévue du 18 au 20 mai. Peut.

Dans un communiqué, Qualcomm a déclaré : “Nous félicitons les chercheurs en sécurité de Check Point Technologies d’avoir utilisé des pratiques de divulgation coordonnées conformes aux normes de l’industrie. En ce qui concerne le problème de codec audio ALAC qu’ils ont découvert, Qualcomm Technologies a mis des mises à jour à la disposition des fabricants d’appareils en octobre 2021. pour mettre à jour leurs appareils au fur et à mesure que des mises à jour de sécurité sont disponibles. “

Aimez-vous ce que vous lisez?

S’inscrire SecurityWatch newsletter pour nos meilleures histoires de confidentialité et de sécurité livrées directement dans votre boîte de réception.

See also  Comment protéger votre smartphone contre les pirates

Cette newsletter peut contenir des publicités, des accords ou des liens associés. L’inscription à une newsletter indique votre consentement à nos conditions d’utilisation et à notre déclaration de confidentialité. Vous pouvez vous désabonner des newsletters à tout moment.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *