Er zijn drie beveiligingsproblemen onthuld in de audiodecoders van Qualcomm- en MediaTek-chips die, indien onopgelost, een tegenstander in staat zouden kunnen stellen op afstand toegang te krijgen tot media- en audiogesprekken van getroffen mobiele apparaten.
Volgens het Israëlische cyberbeveiligingsbedrijf Check Point kunnen de problemen worden gebruikt als lanceerplatform voor het uitvoeren van Remote Code Execution (RCE)-aanvallen door simpelweg een speciaal vervaardigd audiobestand te verzenden.
“De impact van een RCE-kwetsbaarheid kan variëren van het uitvoeren van malware tot een aanvaller die controle krijgt over de multimediagegevens van een gebruiker, inclusief streaming vanaf de camera van een gecompromitteerde machine”, aldus de onderzoekers in een rapport dat werd gedeeld met The Hacker News.
“Bovendien zou een onbevoorrechte Android-app deze kwetsbaarheden kunnen gebruiken om zijn privileges te escaleren en toegang te krijgen tot mediagegevens en gebruikersgesprekken.”
De kwetsbaarheden zijn geworteld in een audiocoderingsformaat dat oorspronkelijk door Apple is ontwikkeld en open source is in 2011. De zogenaamde Apple Lossless Audio Codec (ALAC) of Apple Lossless, het audiocodec-formaat wordt gebruikt voor lossless datacompressie van digitale muziek.
Sindsdien hebben verschillende externe leveranciers, waaronder Qualcomm en MediaTek, de door Apple geleverde referentie-audiocodec-implementatie opgenomen als basis voor hun eigen audiodecoders.
En hoewel Apple consequent beveiligingsfouten in zijn eigen versie van ALAC heeft gepatcht en verholpen, heeft de open source-variant van de codec geen enkele update ontvangen sinds het werd uitgebracht. geüpload naar GitHub 11 jaar geleden op 27 oktober 2011.
De kwetsbaarheden die door Check Point zijn ontdekt, hebben betrekking op deze geporteerde ALAC-code, waarvan er twee zijn geïdentificeerd in MediaTek processors en één in Qualcomm chipsets –
- CVE-2021-0674 (CVSS-score: 5,5, MediaTek) – Een geval van onjuiste invoervalidatie in de ALAC-decoder die leidt tot openbaarmaking van informatie zonder enige gebruikersinteractie
- CVE-2021-0675 (CVSS-score: 7.8, MediaTek) – Een lokale privilege-escalatiefout in de ALAC-decoder als gevolg van schrijven buiten het bereik
- CVE-2021-30351 (CVSS-score: 9,8, Qualcomm) – Een out-of-bound geheugentoegang als gevolg van onjuiste validatie van het aantal frames dat wordt doorgegeven tijdens het afspelen van muziek
In een proof-of-concept-exploit ontwikkeld door Check Point, maakten de kwetsbaarheden het mogelijk om “de camerastream van de telefoon te stelen”, zegt beveiligingsonderzoeker Slava Makkaveev, die samen met Netanel Ben Simon de fouten heeft ontdekt.
Na verantwoorde bekendmaking werden alle drie de kwetsbaarheden in december 2021 door de respectievelijke chipsetfabrikanten gesloten.
“De kwetsbaarheden waren gemakkelijk te misbruiken”, legt Makkaveev uit. “Een dreigingsactor kan een nummer (mediabestand) hebben verzonden en wanneer het wordt afgespeeld door een potentieel slachtoffer, kan het code in de bevoorrechte mediadienst hebben geïnjecteerd. De dreigingsactor kan hebben gezien wat de gebruiker van de mobiele telefoon op zijn telefoon ziet.”
