Sicherheitslücke: Apple-Codec sorgt für Lücke in Android-Smartphones

Mit präparierten Audiodateien haben sich etliche Android-Smartphones mit Qualcomm- oder Mediatek-Chip hacken lassen.

Artikel veröffentlicht am ,
Ein Apple-Codec in Android
Ein Apple-Codec in Android (Bild: noname_04/Pixabay)

Über eine Sicherheitslücke konnte Schadcode in vielen Smartphones mit Qualcomm- oder Mediatek-SoCs ausgeführt werden. Konkret betroffen war deren Implementierung des Apple Lossless Audio Codec (ALAC), einem Decoder für das verlustfreie ALAC-Format von Apple. Entdeckt wurde die Sicherheitslücke von der Sicherheitsfirma Checkpoint, die sie Alhack nennt.

Stellenmarkt
  1. FI-NetSuite Solution Architect (m/w/d)
    Schüttflix GmbH, Berlin, Köln, Hamburg, remote
  2. IT Engineer (m/w/d) Anwendungen
    STAHL CraneSystems GmbH, Künzelsau
Detailsuche

"Die von den Forschern gefundenen ALAC-Probleme konnten von einem Angreifer für einen Remote-Code-Execution-Angriff (RCE) auf einem mobilen Gerät über eine fehlerhafte Audiodatei genutzt werden", erklärte Checkpoint. Auch Android-Apps hätten über die Sicherheitslücke ihre Rechte ausweiten können.

"Die Schwachstellen waren leicht ausnutzbar. Ein Hacker hätte ein Lied (oder irgendeine eine Mediendatei) senden und beim Abspielen durch ein Opfer einen Code in den privilegierten Mediendienst injizieren können", sagte Slava Makkaveev, Reverse Engineering & Security Researcher bei Checkpoint. In einem Proof of Concept habe man auf den Videostream der Kamera zugreifen können.

Nachdem Checkpoint Mediatek und Qualcomm über die Sicherheitslücken (CVE-2021-0674, CVE-2021-0675, CVE-2021-30351) informiert hatte, wurden sie im Dezember 2021 geschlossen und ihre Patches an die Gerätehersteller und Google übermittelt. Anschließend habe man den Nutzern mehrere Monate Zeit gegeben, um entsprechende Sicherheitsupdates einzuspielen, erklärte Checkpoint. Geräte mit einem Patchlevel vor 5. Dezember 2021 sind jedoch weiterhin verwundbar.

Open-Source-Variante von ALAC nicht gepflegt

Golem Karrierewelt
  1. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    29./30.06.2022, virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
Weitere IT-Trainings

Bereits Ende 2011 hat Apple ALAC als Open Source zur Verfügung gestellt. Seitdem wurde der Codec in viele Geräte und Programme zur Audiowiedergabe eingebettet, darunter beispielsweise Mediaplayer unter Linux und Windows, aber auch Android-basierte Smartphones.

Apple habe die proprietäre Version des Decoders seitdem bereits mehrfach aktualisiert und Sicherheitslücken behoben, den 2011 veröffentlichten Open-Source-Code jedoch nicht, erklärte Checkpoint. "Viele Drittanbieter verwenden den von Apple bereitgestellten Code als Grundlage für ihre eigenen ALAC-Implementierungen und es ist anzunehmen, dass viele von ihnen den externen Code nicht pflegen." So sei Checkpoint auf die Sicherheitslücken bei Mediatek und Qualcomm aufmerksam geworden, schreibt die Sicherheitsfirma.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


M.P. 23. Apr 2022 / Themenstart

Man kann die Achseln zucken, und ein technisch ansonsten noch durchaus einwandfreies...

Termuellinator 23. Apr 2022 / Themenstart

Dass der links liegen gelassene Code dann auch noch so breit verwendet wurde macht das...

maxule 23. Apr 2022 / Themenstart

Weiter gefragt: Reicht es auf einer Webseite eine Audiodatei ungefragt untergejubelt zu...

Vögelchen 22. Apr 2022 / Themenstart

Und am wenigsten auf meinem Android! Würde mir wünschen, die verdammten Codecs wären...

Kommentieren



Aktuell auf der Startseite von Golem.de
Optibike
E-Bike mit 480 km Reichweite kostet 17.000 Euro

Das E-Bike Optibike R22 Everest setzt mit seinen zwei Akkus auf Reichweite.

Optibike: E-Bike mit 480 km Reichweite kostet 17.000 Euro
Artikel
  1. Krypto-Kriminalität: Behörden fahnden nach Onecoin-Betrügerin
    Krypto-Kriminalität
    Behörden fahnden nach Onecoin-Betrügerin

    Deutsche und internationale Behörden suchen nach den Hintermännern und -frauen von Onecoin. Der Schaden durch Betrug mit der vermeintlichen Kryptowährung geht in die Milliarden.

  2. Hassrede: Bayern will soziale Netzwerke bestrafen
    Hassrede
    Bayern will soziale Netzwerke bestrafen

    Der bayrische Justizminister fordert, bei der Verbreitung von Hassrede auch die Betreiber von sozialen Medien stärker zur Verantwortung zu ziehen.

  3. Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
    Prehistoric Planet
    Danke, Apple, für so grandiose Dinosaurier!

    Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
    Ein IMHO von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 870 QVO 1 TB 79€ • Prime Video: Filme leihen für 0,99€ • Alternate (u. a. Recaro Rae Essential 429€) • Gigabyte RTX 3080 12 GB ab 1.024€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • SanDisk Ultra microSDXC 256 GB ab 14,99€ • Sackboy 19,99€ [Werbung]
    •  /