అన్‌ప్యాచ్ చేయని కోడెక్ లోపం ద్వారా ఆండ్రాయిడ్ పరికరాలపై మిలియన్ల కొద్దీ బహిర్గతం: పరిశోధకులు

ఆడియో కోడెక్‌లోని భద్రతా లోపాలను భద్రతా పరిశోధకులు కనుగొన్నారు, మిలియన్ల కొద్దీ Android ఫోన్‌లు మరియు MediaTek మరియు Qualcomm నుండి చిప్‌సెట్‌ల ద్వారా ఆధారితమైన ఇతర Android పరికరాలను హ్యాకర్లు రాజీపడే ప్రమాదంలో ఉంచారు. అనేక సంవత్సరాల క్రితం Apple సృష్టించిన కోడెక్ నుండి ఉత్పన్నమైంది, ఆపిల్ కాని పరికరాలలో చేర్చడం కోసం కంపెనీ 11 సంవత్సరాల క్రితం కోడెక్‌ను ఓపెన్ సోర్స్ చేసినప్పటి నుండి హానిని గుర్తించలేదు. భద్రతా లోపాలను అధిగమించడం ద్వారా, దాడి చేసే వ్యక్తి ఆండ్రాయిడ్ ఫోన్ మీడియా మరియు ఆడియో సంభాషణలకు రిమోట్‌గా యాక్సెస్ పొందవచ్చని పరిశోధకులు తెలిపారు.

a ప్రకారం నివేదిక చెక్ పాయింట్ రీసెర్చ్‌లోని పరిశోధకులచే, Apple నుండి Apple లాస్‌లెస్ ఆడియో కోడెక్ (ALAC)లో ఒక లోపం, తప్పుగా రూపొందించబడిన ఆడియో ఫైల్‌ను పంపిన తర్వాత, టార్గెట్ స్మార్ట్‌ఫోన్‌లో రిమోట్ కోడ్ ఎగ్జిక్యూషన్ (RCE) దాడిని నిర్వహించడానికి దాడి చేసే వ్యక్తిని అనుమతిస్తుంది. కెమెరాల నుండి వీడియో స్ట్రీమింగ్, మీడియా మరియు వినియోగదారు సంభాషణలను యాక్సెస్ చేయడంతో సహా హ్యాండ్‌సెట్‌లోని మల్టీమీడియాపై నియంత్రణ సాధించడానికి RCE దాడి దాడి చేసేవారిని అనుమతిస్తుంది.

ఆపిల్ యొక్క ALAC కోడెక్‌లో భద్రతా లోపాలు కనుగొనబడ్డాయి, ఇది 2011లో కంపెనీచే ఓపెన్ సోర్స్ చేయబడింది – ఇది యాపిల్-యేతర పరికరాలను సంగీతాన్ని ప్రసారం చేయడానికి అనుమతిస్తుంది. ‘నష్టం లేని’ నాణ్యత Apple యొక్క మునుపు యాజమాన్య కోడెక్‌ని ఉపయోగించడం. అయినప్పటికీ, ఆపిల్ ALAC కోడెక్ యొక్క యాజమాన్య సంస్కరణను ప్యాచ్ చేసినప్పటికీ, ఓపెన్ సోర్స్ వెర్షన్ అన్‌ప్యాచ్ చేయబడిందని పరిశోధకుల అభిప్రాయం.

ఫలితంగా, Qualcomm మరియు MediaTek, హాని కలిగించే ALAC కోడెక్‌ను వారి ఆడియో డీకోడర్‌లకు పోర్ట్ చేసిన చిప్‌సెట్ తయారీదారులు, ఫలితంగా 2021లో విక్రయించబడిన మొత్తం స్మార్ట్‌ఫోన్‌లలో మూడింట రెండు వంతుల మంది భద్రతా లోపాలకు గురవుతారు, దీనిని “ALHACK” అని పిలుస్తారు, పరిశోధకులు తెలిపారు. క్వాల్‌కామ్ మరియు మీడియా టెక్‌లకు ఈ దుర్బలత్వాలు బాధ్యతాయుతంగా వెల్లడి చేయబడ్డాయి, వారు సమస్యలను గుర్తించి, లోపాల కోసం కామన్ వల్నరబిలిటీస్ అండ్ ఎక్స్‌పోజర్‌లను (CVE) కేటాయించారు. MediaTek కేటాయించబడింది CVE-2021-0674 మరియు CVE-2021-0675 (వరుసగా ‘మీడియం’ మరియు ‘హై’ రేటింగ్‌లతో), Qualcomm కేటాయించింది CVE-2021-30351 (10కి 9.8 ‘క్రిటికల్’ రేటింగ్‌తో) ALAC లోపాల కోసం, వాటిని ప్యాచ్ చేయడానికి ముందు.

పరిశోధకుల అభిప్రాయం ప్రకారం, రెండు కంపెనీలు ఇందులో చేర్చబడిన లోపాల కోసం ప్యాచ్‌లను జారీ చేశాయి డిసెంబర్ 2021 ఆండ్రాయిడ్ సెక్యూరిటీ బులెటిన్, అంటే డిసెంబర్ సెక్యూరిటీ ప్యాచ్‌లను పొందిన స్మార్ట్‌ఫోన్‌లను కలిగి ఉన్న వినియోగదారులు దుర్బలత్వాల నుండి సురక్షితంగా ఉండాలి. అయినప్పటికీ, ఇది పాత సాఫ్ట్‌వేర్‌ను అమలు చేస్తున్న మిలియన్ల మంది వినియోగదారులను లేదా అనియత భద్రతా నవీకరణలను స్వీకరించే వినియోగదారులను వదిలివేస్తుంది – దాడి చేసే వారిచే రాజీపడే ప్రమాదం ఉంది.