- Pour être précis, les deux tiers de tous les appareils intelligents proposés en 2021 sont des téléphones Android avec leur vie privée en jeu.
- Check Point Research trouvé vulnérabilités dans le format ALAC qui auraient pu conduire un agresseur à accéder à distance à ses médias et à ses conversations audio, dans plus de la moitié de tous les téléphones mobiles dans le monde.
cette année, les données montrent que le nombre d’utilisateurs d’appareils intelligents dans le monde s’élève à 6,65 milliards, les téléphones intelligents Android détenant à eux seuls plus de 72 % du marché. partager. Compte tenu de l’ampleur de son impact, une découverte récente a révélé que la confidentialité de pratiquement tous ces appareils intelligents Android pourrait être en jeu en raison de certaines vulnérabilités découvertes par les deux plus grands fabricants de chipsets mobiles au monde.
Les vulnérabilités, découvertes par Examine Point Research Study (CPR), ont été découvertes dans le Apple Lossless Audio Codec (ALAC) des puces Qualcomm et MediaTek qui alimentent le plus Gadgets Android sur la planète. Apple Lossless est un format de codage audio, développé par Apple Inc. et présenté pour la première fois en 2004 pour la compression de données sans perte de musique numérique.
Apple a rendu le codec open source en 2011 et depuis lors, le format ALAC a en fait été intégré dans de nombreux appareils et programmes de lecture audio non Apple, y compris les téléphones mobiles basés sur Android, les lecteurs et convertisseurs multimédia Linux et Windows. Depuis lors, CPR a déclaré qu’Apple avait mis à jour la version propriétaire du décodeur à plusieurs reprises, réparant et couvrant les problèmes de sécurité, mais le code partagé n’a pas été couvert depuis 2011.
« De nombreux fournisseurs tiers utilisent le code fourni par Apple comme base pour leurs propres implémentations ALAC, et il est juste de supposer que beaucoup d’entre eux ne conservent pas le code externe », lit-on dans le message. Finalement, la société de recherche a découvert que Qualcomm et MediaTek, deux des plus grands fabricants de chipsets mobiles de la planète, ont porté le code ALAC vulnérable dans leurs décodeurs audio, qui sont utilisés dans la majorité de tous les smartphones dans le monde.
Pour le contexte de la gravité, les informations d’IDC recommandent que 48,1 % de tous les téléphones Android proposés aux États-Unis soient alimentés par MediaTek au quatrième trimestre 2021, tandis que Qualcomm détient actuellement 47 % du marché.
Qu’est-ce qui est en jeu pour la vie privée des appareils intelligents Android ?
S’ils ne sont pas corrigés, un agresseur pourrait les exploiter pour accéder à distance à la caméra et au microphone électroniques d’un gadget en utilisant un fichier audio mal formé . CSR a même gardé à l’esprit que pour les applications Android non privilégiées, ces vulnérabilités peuvent être utilisées pour intensifier ses opportunités et accéder aux informations des médias et aux conversations des utilisateurs.
APPS
Un grand nombre d’applications Android collectent des données et Google les a interdites
« Les problèmes ALAC découverts par nos scientifiques pourraient être utilisés par un agresseur à distance Attaque d’exécution de code (RCE) sur un téléphone portable via un fichier audio malformé. Les attaques RCE permettent à un adversaire d’exécuter à distance un code nuisible sur un ordinateur. L’impact d’une vulnérabilité RCE peut varier de l’exécution d’un logiciel malveillant à un agresseur prenant le contrôle de l’ordinateur d’un utilisateur. informations multimédias, y compris la diffusion en continu à partir de la caméra électronique d’un fabricant en danger », a noté la société d’étude.
Le scientifique en ingénierie inverse et en sécurité de CSR, Slava Makkaveev, a déclaré dans un commentaire par e-mail qu' »une étoile dangereuse aurait pu envoyer un chanson (fichier multimédia) et lorsqu’il est joué par une victime potentielle, il c aurait injecté du code dans le service de médias chanceux. L’acteur du danger aurait pu voir ce que l’utilisateur du téléphone portable voit sur son téléphone. Dans notre preuve de principe, nous avons pu prendre le flux de caméras du téléphone. »
CPR avait divulgué ses conclusions à Qualcomm et MediaTek, qui ont tous deux publié des réparations. Qualcomm dans un communiqué félicite les chercheurs en sécurité d’avoir utilisé l’industrie « En ce qui concerne le problème de décodeur audio ALAC qu’ils ont révélé, Qualcomm Technologies a mis des spots à la disposition des fabricants d’appareils en octobre 2021. Nous incitons les utilisateurs finaux à mettre à niveau leurs gadgets car les mises à jour de sécurité sont effectivement devenues disponibles », ont-ils conclu.
Toute l’actualité en temps réel, est sur L’Entrepreneur
