Une faille dans le format audio a exposé des millions de téléphones Android au piratage à distance
Des chercheurs en sécurité ont découvert une faille dans un format de codage audio qui aurait pu être exploitée pour aider les pirates à attaquer à distance les téléphones Android simplement en envoyant un fichier audio malveillant.
La faille impliquait le Apple Lossless Audio Codec (ALAC), selon la société de sécurité Check Point, qui a découvert le problème l’année dernière. Le codec est open source et largement utilisé sur les appareils non iPhone, y compris les smartphones Android.
Depuis des années, Apple met à jour la version propriétaire d’ALAC, mais la version open source n’a pas été corrigée depuis 2011, selon Check Point. Cela a conduit la société de sécurité à découvrir une grave vulnérabilité dans la façon dont deux grandes entreprises mettaient en œuvre l’ALAC.
« Check Point Research a découvert que Qualcomm et MediaTek, deux des plus grands fabricants de chipsets mobiles au monde, ont porté le code ALAC vulnérable dans leurs décodeurs audio, qui sont utilisés dans plus de la moitié de tous les smartphones dans le monde », a écrit la société de sécurité dans un article de blog.
Les bulletins de sécurité de Qualcomm et MediaTek indiquent que la faille a affecté des dizaines de chipsets des deux sociétés, y compris les Snapdragon 888 et 865, ce qui signifie que des millions de smartphones Android ont été touchés.
La vulnérabilité pourrait aider un attaquant à exécuter à distance du code informatique sur un téléphone Android en envoyant un fichier audio conçu de manière malveillante, capable de déclencher la faille ALAC. À partir de là, le pirate pourrait essayer d’installer des logiciels malveillants supplémentaires sur l’appareil ou tenter d’accéder à la caméra.
Selon Check Point, les applications mobiles existantes pourraient également exploiter la faille pour accéder au dossier multimédia d’un smartphone Android concerné sans demander l’autorisation de l’utilisateur.
La bonne nouvelle est que Qualcomm et MediaTek ont corrigé la faille en décembre après que le problème a été signalé pour la première fois. Check Point n’a également trouvé aucune preuve que des pirates aient jamais exploité la vulnérabilité.
Recommandé par nos rédacteurs
Pour vous assurer que vous êtes protégé, vous devez vérifier si votre téléphone a reçu le correctif de sécurité Android « 2021-12-05 » ou ultérieur. Cela peut généralement être fait en accédant au panneau Paramètres du téléphone, puis en allant dans « À propos du téléphone » et en vérifiant la version Android.
La faille affectant les appareils Qualcomm a été nommée CVE-2021-30351. Pendant ce temps, MediaTek a attribué CVE-2021-0674 et CVE-2021-0675 comme désignations officielles de la vulnérabilité. Check Point prévoit de révéler plus de détails sur le bogue logiciel lors de la conférence CanSecWest, prévue du 18 au 20 mai.
Dans un communiqué, Qualcomm a déclaré : « Nous félicitons les chercheurs en sécurité de Check Point Technologies d’avoir utilisé des pratiques de divulgation coordonnées conformes aux normes de l’industrie. aux utilisateurs de mettre à jour leurs appareils au fur et à mesure que des mises à jour de sécurité sont disponibles.
Vous aimez ce que vous lisez ?
S’inscrire pour SecurityWatch newsletter pour nos meilleures histoires de confidentialité et de sécurité livrées directement dans votre boîte de réception.
Cette newsletter peut contenir des publicités, des offres ou des liens d’affiliation. L’inscription à une newsletter indique votre consentement à nos conditions d’utilisation et à notre politique de confidentialité. Vous pouvez vous désabonner des newsletters à tout moment.