Une faille de format audio a exposé des millions de téléphones Android au piratage à distance
Des chercheurs en sécurité ont découvert une faille dans un format d’encodage audio qui aurait pu être exploitée pour aider les pirates à attaquer à distance les téléphones Android en envoyant un fichier audio malveillant.
La faille impliquait le Apple Lossless Audio Codec (ALAC), selon la société de sécurité Check Point, qui a découvert le problème l’année dernière. Le codec est open source et largement utilisé sur les appareils non iPhone, y compris les smartphones Android.
Depuis de nombreuses années, Apple a mis à jour la version propriétaire de l’ALAC, mais la version open source n’a pas été mise à jour depuis 2011, selon Check Point. Cela a conduit l’entreprise de sécurité à découvrir une grave vulnérabilité dans la façon dont quelques grandes entreprises ont mis en œuvre l’ALAC.
“Check Point Research a découvert que Qualcomm et MediaTek, deux des plus grands fabricants de chipsets mobiles au monde, ont porté le code ALAC vulnérable dans leurs décodeurs audio, qui sont utilisés dans plus de la moitié de tous les smartphones dans le monde”, a écrit la société de sécurité.(Ouvre dans une nouvelle fenêtre) dans un article de blog.
Bulletins de sécurité Qualcomm(Ouvre dans une nouvelle fenêtre) et MediaTek(Ouvre dans une nouvelle fenêtre) indique que la faille a affecté des dizaines de chipsets des deux sociétés, y compris les Snapdragon 888 et 865, ce qui signifie que des millions de smartphones Android ont été affectés.
La vulnérabilité pourrait aider un attaquant à exécuter à distance du code informatique sur un téléphone Android en envoyant un fichier audio malveillant qui pourrait déclencher l’erreur ALAC. À partir de là, le pirate peut essayer d’installer des logiciels malveillants supplémentaires sur l’appareil ou tenter d’accéder à la caméra.
Les applications mobiles existantes peuvent également exploiter la faille pour accéder au dossier multimédia d’un smartphone Android affecté sans demander l’autorisation de l’utilisateur, selon Check Point.
La bonne nouvelle est que Qualcomm et MediaTek ont corrigé le bogue en décembre après que le problème a été signalé pour la première fois. Check Point n’a également trouvé aucune preuve que des pirates aient jamais exploité la vulnérabilité.
Recommandé par nos rédacteurs
Pour vous assurer que vous êtes protégé, vérifiez si votre téléphone a reçu la mise à jour de sécurité Android “2021-12-05” ou une version plus récente(Ouvre dans une nouvelle fenêtre). Cela peut généralement être fait en accédant au panneau Paramètres de votre téléphone, puis en allant sur “À propos du téléphone” et en vérifiant votre version d’Android.
La faille affectant les appareils Qualcomm a été nommée CVE-2021-30351. Pendant ce temps, MediaTek a attribué CVE-2021-0674 et CVE-2021-0675 comme désignations officielles de la vulnérabilité. Check Point prévoit de révéler plus de détails sur la faille logicielle lors de la conférence CanSecWest, prévue du 18 au 20 Peut.
Dans un communiqué, Qualcomm a déclaré : « Nous félicitons les chercheurs en sécurité de Check Point Technologies d’avoir utilisé les pratiques de divulgation coordonnée standard de l’industrie. aux utilisateurs de mettre à jour leurs appareils au fur et à mesure que les mises à jour de sécurité sont disponibles.”
Aimez-vous ce que vous lisez?
S’inscrire SecurityWatch newsletter pour nos meilleures histoires de confidentialité et de sécurité livrées directement dans votre boîte de réception.
Cette newsletter peut contenir des publicités, des offres ou des liens d’affiliation. L’inscription à une newsletter indique votre consentement à nos conditions d’utilisation et à notre politique de confidentialité. Vous pouvez vous désabonner des newsletters à tout moment.
![[2023] Pokemon Go Hack: How to play Pokemon Go safely on iPhone](https://www.theintegritywebs.com/wp-content/uploads/2023/01/image2-120x120.jpg "[2023] Pokemon Go Hack: How to play Pokemon Go safely on iPhone")
