账号:
密码:
最新动态
 
产业快讯
CTIMES/SmartAuto / 新闻 /
Check Point Research:全球三分之二Android使用者隐私漏洞风险高
 

【CTIMES / SMARTAUTO ABC_1 报导】    2022年04月29日 星期五

浏览人次:【30990】

在手机中常储存着许多个人的音讯及视讯等媒体服务,而骇客入侵与攻击能透过网路找到此漏洞成功窃取这些资讯,Check Point Software的威胁情报部门Check Point Research 在高通(Qualcomm)和联发科(MediaTek)的音讯解码器(Audio Decoder)中发现漏洞。此漏洞是因为高通及联发科采用Apple开源的音讯解码器,内含漏洞将导致音讯及视讯资料外泄;若未及时修补,攻击者将能够远端存取媒体和对话音讯,或透过恶意远端程式码执行(RCE)威胁全球三分之二的行动装置。

/news/2022/04/29/1954382320S.jpg

Apple开发的保真压缩音讯编解码器(Apple Lossless Audio Codec; ALAC)是一种音讯编码格式,於2004 年首次推出,用於数位音乐的保真音讯压缩,并於2011年底开源。ALAC格式自此被应用於许多非Apple 音讯播放设备和程式中,包括Android智慧型手机、Linux和Windows媒体播放器及转换器。此後Apple 多次更新并修补其私有版本的解码器,但开源版本自2011年以来就未再更新;Check Point Research团队发现,高通和联发科都在其音讯解码器中采用了含有安全漏洞的ALAC。

此漏洞可能被攻击者用於远端程式码执行,透过异常音讯档对行动装置发起攻击;此类型漏洞影响层面广,包含恶意软体执行和攻击者能成功控制使用者的多媒体资料,例如能串流受攻击装置的摄影画面等。此外,权限较低的Android应用程式可利用这些漏洞提升权限,并存取使用者的媒体资料和对话纪录。

Check Point Research逆向工程和安全研究部Slava Makkaveev指出:「这组漏洞能让攻击者在全球三分之二的行动装置上远端执行及提升权限,且这些漏洞很容易被利用,受害者只要播放攻击者传送的一首歌曲(媒体档案),恶意程式码便能成功注入权限较高的媒体服务中。攻击者将能看到使用者在手机上查找的资讯;而在Check Point Research的概念验证(PoC)中,我们也证实能够直接串流受害手机的摄影画面。其中易受攻击的解码器正是源自於 Apple 11年前开源的程式码。」

Check Point Research与联发科和高通密切合作,以确保尽快修复这些漏洞。联发科将漏洞命名为CVE-2021-0674和CVE-2021-0675,目前这些漏洞已修复,并发布在2021 年12月联发科产品安全布告栏中;高通则在2021年12月高通安全布告栏中发布了CVE-2021-30351的修补程式。Check Point Software 建议使用者可依循Google每月发布的安全性公告更新手机。

關鍵字: 音讯解码器  远程访问  Qualcomm  联发科  Check Point Software 
相关新闻
高通推出工业级IQ系列产品和物联网解决方案框架
联发科发表3奈米天玑9400旗舰5G晶片 采用Arm v9.2 CPU架构
说比做容易? 解析高通意图并购英特尔背後的深谋与算计
联发科与达发获欧洲信业者采用 2025推出Wi-Fi 7 10G-PON服务
Check Point开发生成式AI安全防护解决方案 助组织有效应对挑战
comments powered by Disqus
相关讨论
  相关文章
» AI时代常见上网行为的三大资安隐??
» 物联网结合边缘 AI 的新一波浪潮
» 共封装光学(CPO)技术:数据传输的新纪元
» 以低轨卫星实现定位导航应用 是现实还是炒作?
» 低功耗通讯模组 满足物联网市场关键需求


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK8B16V6L9WSTACUK0
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw