Les analystes de la sécurité ont découvert que les appareils Android fonctionnant sur les chipsets Qualcomm et MediaTek étaient vulnérables à l’exécution de code à distance en raison d’une faille dans l’implémentation du Apple Lossless Audio Codec (ALAC).
ALAC est un format de codage audio pour la compression audio sans perte qu’Apple a ouvert en 2011. Depuis lors, la société a publié des mises à jour du format, y compris des correctifs de sécurité, mais tous les fournisseurs tiers utilisant le codec n’appliquent pas ces correctifs.
Selon un rapport Recherche de points de contrôlecela inclut Qualcomm et MediaTek, deux des plus grands fabricants de puces pour smartphones au monde.
Le son de RCE
Les analystes n’ont pas encore fourni beaucoup de détails sur l’exploitation réelle des failles mais ont promis de le faire lors de la prochaine CanSecOuest en mai 2022.
D’après les détails disponibles, la vulnérabilité permet à un attaquant distant d’exécuter du code sur un appareil cible en envoyant un fichier audio conçu de manière malveillante et en incitant l’utilisateur à l’ouvrir. Les chercheurs appellent cette attaque « ALHACK ».
L’impact des attaques d’exécution de code à distance a de graves implications, allant de la violation de données, l’implantation et l’exécution de logiciels malveillants, la modification des paramètres de l’appareil, l’accès aux composants matériels tels que le microphone et la caméra, ou la prise de contrôle de compte.
Les failles ALAC ont été corrigées par MediaTek et Qualcomm en décembre 2021 et sont suivies comme CVE-2021-0674 (sévérité moyenne avec un score de 5,5), CVE-2021-0675 (sévérité élevée avec un score de 7,8), et CVE-2021-30351 (sévérité critique avec un score de 9,8).
D’après l’analyse des chercheurs, les implémentations de décodeurs ALAC de Qualcomm et MediaTek souffrent d’éventuelles lectures et écritures hors limites, et d’une mauvaise validation des trames audio transmises lors de la lecture de musique.
Les conséquences possibles incluent la divulgation d’informations et l’élévation de privilèges sans qu’aucune interaction de l’utilisateur ne soit requise.
EZpublish-france.fr a demandé à Qualcomm un commentaire sur le risque actuel pour les clients. Un porte-parole de l’entreprise a fait la déclaration ci-dessous :
Fournir des technologies qui prennent en charge une sécurité et une confidentialité robustes est une priorité pour Qualcomm Technologies. Nous félicitons les chercheurs en sécurité de Check Point Technologies d’avoir utilisé des pratiques de divulgation coordonnée conformes aux normes de l’industrie. En ce qui concerne le problème de décodeur audio ALAC qu’ils ont révélé, Qualcomm Technologies a mis des correctifs à la disposition des fabricants d’appareils en octobre 2021. Nous encourageons les utilisateurs finaux à mettre à jour leurs appareils à mesure que des mises à jour de sécurité sont disponibles.
Le cas des défauts du codec audio
Les correctifs des défauts d’exécution de code à distance dans les unités de traitement audio à source fermée sont présents presque dans chaque mise à jour de sécurité mensuelle d’Android.
Cependant, leur exploitation est rarement triviale, et les vendeurs de composants fournissent peu de détails techniques pour réduire le risque d’exploitation.
Par exemple, les correctifs Android d’avril comprenaient neuf correctifs pour les vulnérabilités critiques des composants à source fermée. L’un d’eux est CVE-2021-35104 (score de gravité de 9,8) – un dépassement de mémoire tampon qui a conduit à une analyse incorrecte des en-têtes lors de la lecture de clips audio FLAC.
Le bug affectait les chipsets présents dans presque toute la gamme de produits commercialisés par Qualcomm au cours des dernières années.
Comment rester en sécurité
Le conseil de sécurité standard s’applique ici aussi : gardez vos appareils à jour, dans ce cas, cela signifie exécuter le niveau de correctif Android « Décembre 2021 » ou ultérieur.
Si l’appareil ne reçoit plus les mises à jour de sécurité du fournisseur, l’installation d’une distribution Android tierce qui fournit toujours des correctifs Android est une option valide.
Enfin, lors de la réception de fichiers audio provenant de sources/d’utilisateurs inconnus ou suspects, il est préférable de ne pas les ouvrir car ils pourraient déclencher la vulnérabilité.