臺北市
23°
( 24° / 21° )
氣象
2022-04-29 | 匯流新聞網

再爆資安漏洞 Check Point Research:全球2/3行動裝置恐洩隱私

再爆資安漏洞 Check Point Research:全球2/3行動裝置恐洩隱私

匯流新聞網記者徐以琳、王佐銘、李盛雯/台北報導

近日,全球網路安全解決方案廠商 Check Point Software的威脅情報部門Check Point Research於高通和聯發科的音訊解碼器中發現安全漏洞。該漏洞是基於一個 Apple 11 年前開源的程式碼,若未能及時修補,攻擊者將能夠遠端存取媒體和對話音訊,或透過惡意遠端程式碼執行威脅全球三分之二的行動裝置。

由Apple開發的保真壓縮音訊編解碼器(Apple Lossless Audio Codec,ALAC)是一種音訊編碼格式,2004年推出後,用於數位音樂的保真音訊壓縮,並於 2011 年底開源。ALAC 格式自此被應用於許多非 Apple 音訊播放設備和程式中,包括 Android 智慧型手機、Linux 和 Windows 媒體播放器及轉換器。此後 Apple 多次更新並修補其私有版本的解碼器,但開源版本自 2011 年以來就未再更新。然而Check Point Research 團隊發現,高通和聯發科都在其音訊解碼器中採用了含有安全漏洞的 ALAC。

Check Point Research表示,該漏洞不僅可能被攻擊者用於遠端程式碼執行、對行動裝置發起攻擊,還包含惡意軟體執行和攻擊者能成功控制使用者的多媒體資料,權限較低的Android應用程式更可利用這些漏洞提升權限,並存取使用者的媒體資料和對話紀錄。

Check Point Research逆向工程和安全研究部的Slava Makkaveev指出,這組漏洞將導致受害者只要播放攻擊者傳送的一份媒體檔案,便能成功注入惡意程式碼到權限較高的媒體服務中。攻擊者將能看到使用者在手機上查找的資訊,包含音訊及視訊等媒體服務並成功竊取資訊。

目前Check Point Research已向聯發科和高通揭露相關資訊,並與兩家廠商密切合作,確保盡快修復。聯發科將公司漏洞命名為CVE-2021-0674和CVE-2021-0675,目前已修復漏洞,並發佈在2021年12月聯發科產品安全佈告欄中;高通則在2021年12月高通安全佈告欄中發佈了該公司CVE-2021-30351的修補程式。

照片來源:Unsplash示意圖

《更多CNEWS匯流新聞網報導》

花花入菜!福容桃園店迎香花饌料理「美」食寵媽咪

房市降溫!永慶:升息、打炒房發酵 購屋族態度轉觀望

【文章轉載請註明出處】

再爆資安漏洞 Check Point Research:全球2/3行動裝置恐洩隱私

最新科技新聞

延伸閱讀