Vorsicht: Apple Lossless Audio macht Android aus der Ferne angreifbar

Sicherheitsexperten haben in Android-Smartphones mit Qualcomm- und MediaTek-Chipsätzen eine kritische Sicherheitslücke entdeckt. Unbefugte können dabei einen Fehler in der Implementierung von Apples Lossless Audio Codec nutzen, um aus der Ferne beliebigen Code auszuführen.
Betriebssystem, Google, Android, Google Android, Android 11, Bugdroid, Android Logo, Android Figur, Android Männchen, Google Android 11, Android 11 Beta
Davor warnt nun ein neuer Bericht von Check Point Research (via Bleeping Computer). Demnach entdeckten die Sicherheitsforscher in den Chips von Qualcomm und MediaTek, zwei der größten Smartphone-Chiphersteller der Welt, die Schwachstelle. Aufgrund des Fehlers in der Implementierung des Apple Lossless Audio Codec (ALAC) sind die Geräte dann anfällig für die Ausführung von Remotecode. ALAC ist ein Audioformat für verlustfreie Audio-Komprimierung, das Apple im Jahr 2011 als Open Source startete.

Apple patcht fleißig, Drittanbieter nicht

Seitdem hat Apple regelmäßig Updates für das Format veröffentlicht, darunter auch Sicherheitsbehebungen. Diese Updates werden aber laut Check Point Research nicht von allen Drittanbietern, die den Codec verwenden, auch eingesetzt. Damit hat man jetzt die Situation, dass eine große Anzahl Chipsätze unter Umständen mit der Schwachstelle verblieben sind.

Laut der Sicherheitsanalyse kann die Schwachstelle vom Angreifern aus der Ferne genutzt werden, um Zugriff auf die auf dem Gerät gespeicherten Medien zu erhalten. Check Point veröffentlicht die Details jetzt, da die Schwachstellen von MediaTek und Qualcomm behoben wurden (CVE-2021-0674, CVE-2021-0675, CVE-2021-30351. "MediaTek und Qualcomm gefährdeten damit die Privatsphäre von Millionen von Android-Nutzern", kritisiert Check Point. Einzelheiten zu der Sicherheitslücke wollen die Forscher im kommenden Monat bei der Sicherheitskonferenz CanSecWest veröffentlichen.

Aus den bisher verfügbaren Details geht hervor, dass die Schwachstelle es einem entfernten Angreifer ermöglicht, Code auf einem Zielgerät auszuführen, indem er eine bösartig gestaltete Audiodatei sendet und den Benutzer dazu verleitet, diese zu öffnen. Die Forscher nennen diesen Angriff "ALHACK". Das Einschleusen von Trojanern wird ebenso ermöglicht, wie der Datendiebstahl.

Siehe auch:
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:35 Uhr YV 520mb/s USB SticksYV 520mb/s USB Sticks
Original Amazon-Preis
39,99
Im Preisvergleich ab
?
Blitzangebot-Preis
31,99
Ersparnis zu Amazon 20% oder 8
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!