A Check Point fedezte fel, hogy a Qualcomm és MediaTek processzorral ellátott androidos eszközök az Apple Lossless Audio Codec (ALAC) implementálási hibái folytán lehetőséget adtak távoli kódfuttatásra, ráadásul egyes hibák viszonylag egyszerű kihasználást tettek lehetővé.
Az ALAC egy hangkódolási formátum, amit az Apple dolgozott ki, azonban 2011-ben nyílt forráskódúvá tett. A cég azóta már több biztonsági hibajavítást is kiadott hozzá, azonban ezeket nem minden gyártó alkalmazza ─ mint kiderült a telefonos chipgyártó piac két vezető szereplője a Qualcomm, és a MediaTek sem.
A sebezhetőség kihasználásáról a Check Point szándékosan nem közölt bővebb információt, ugyanis erről a májusi CanSecWest konferencián egy részletes előadást terveznek bemutatni. Az azonban ismert, hogy a biztonsági hibát akár egy speciálisan szerkesztett hangfájl segítségével is ki lehetett használni, ami igazán veszélyes, hiszen csupán arra kell rávenni az áldozatot, hogy megnyissa a fájlt, amit egy üzenet mellékleteként kapott. Egy siekres támadás káros kód futtatást is eredményezhet.
Az ALAC hibákat (CVE-2021-0674 – közepes kockázati besorolású, CVE-2021-0675 – magas kockázati besorolású, CVE-2021-30351 kritikus kockázati besorolású – a gyártók tavaly javították.
Az ilyen és ehhez hasonló biztonsági hibák elleni legjobb védekezés, ha telepítjük a legfrisebb gyártói hibajavításokat az eszközünkre, valamint nem nyituk meg ismeretlen feladótól érkező üzenetekkel érkező csatolmányaokat, hiszen akár egy hangfájl is tartalmazhat káros kódokat.
