В Android-смартфонах с чипами Qualcomm и MediaTek нашли серьёзную уязвимость

Эксперты Check Point Research нашли три уязвимости в чипах Qualcomm и MediaTek. При их использовании злоумышленники могли получить доступ к личным данным Android-пользователей.

Что за уязвимость?

Это не одна уязвимость, а целых три. Все они связаны с реализацией кодека ALAC на Android-смартфонах. Вообще, ALAC расшифровывается как Apple Lossless Audio Codec и представляет собой эппловский аналог FLAC — формата, который позволяет передавать музыку без сжатия.

Apple сделала исходный код общедоступным ещё в 2011 году, продолжая обновлять его внутреннюю версию. То есть компания исправляла уязвимости только в своей версии. Это абсолютно нормальная практика. Так, например, Google исправляет уязвимости собственной версии Android, но не работает над Open-Source версии этой операционки.

А вот производители Android-смартфонов и чипов вроде Qualcomm и MediaTek не сильно беспокоились о безопасности. Так, например, злоумышленник мог разослать пользователям заражённый музыкальный трек в ALAC. Пользователь, запустив его, давал доступ к своему смартфону. Злоумышленник мог удалённо запустить вредоносный код. Как подчёркивают эксперты Check Point Research, таким образом можно получить доступ практически к любым данным — включая потоковую передачу с камеры смартфона.

Какие смартфоны уязвимы?

Точное их количество неизвестно. Однако Check Point Research утверждает, что это порядка 2/3 всех проданных смартфонов в 2021 году. Судя по всему, речь идёт вообще обо всех Android-устройствах с чипами Qualcomm и MediaTek.

Уязвимость исправили?

По заверениям Check Point Research, MediaTek и Qualcomm исправили уязвимость ещё в 2021 году, выпустив патчи безопасности. Однако не сообщается, насколько эти патчи дошли до пользователей.