Des failles ont été trouvées dans la version open source du codec Apple Lossless Audio Codec. Elle n’a jamais eu de mises à jour de sécurité depuis… 2011.
Les chercheurs en sécurité de Check Point ont trouvé des failles critiques dans une large gamme de décodeurs audio de Qualcomm (CVE-2021-30351) et MediaTek (CV-2021-0674, CVE-2021-0675).
Ces vulnérabilités permettraient de prendre le contrôle à distance d’un smartphone Android. Il suffirait pour cela d’envoyer un fichier son piégé au format Apple Lossless Audio Codec (ALAC). Aussitôt, le pirate pourrait exécuter du code arbitraire à distance sur le terminal et, le cas échéant, espionner les conversations de l’utilisateur ou le filmer à son insu. Une attaque que les chercheurs ont baptisée « ALHACK », en référence au format d’Apple.
Qualcomm et MediaTek étant les principaux fournisseurs de codecs dans le marché des smartphones Android, ces failles affectent des dizaines de millions d’appareils.
Pour la seule année 2021, Check Point estime que deux tiers des smartphones Android vendus sont vulnérables. La bonne nouvelle, c’est que les deux fabricants ont diffusés des patches en décembre dernier. Il faut maintenant espérer que les constructeurs les aient bien intégrés dans leurs mises à jour depuis.
Check Point devrait donnera les détails techniques sur ces failles en mai prochain, à l’occasion de la conférence CanSecWest 2022. Ce que l’on sait déjà, en revanche, c’est que ces failles proviennent de la version open source du codec ALAC qu’Apple a publié en 2011.
Ce code partagé permet aux équipements non-Apple de supporter ce format audio. Le problème, c’est que personne ne s’en occupe vraiment. Selon Check Point, il n’a jamais eu de patches de sécurité, alors que la version propriétaire utilisée par Apple continue d’être mise à jour régulièrement. Une négligence dont les conséquences néfastes se font maintenant ressentir.
Source : Check Point