ANDROID

Millioner av Android-enheter kan være berørt av sårbar Apple-kildekode

Fjernet sårbarheter i den proprietære versjonen, men ikke i den åpne kildekoden.

Mange Android-enheter er berørt av de omtalte sårbarhetene, inkludert den amerikanske utgaven av Samsung Galaxy S21 Ultra.
Mange Android-enheter er berørt av de omtalte sårbarhetene, inkludert den amerikanske utgaven av Samsung Galaxy S21 Ultra. Foto: Samsung
Harald BrombachHarald BrombachNyhetsleder
24. apr. 2022 - 14:00

Apple Lossless Audio Codec (ALAC) er en tapsfri kodek for lyd som støttes av mange systemer. Den ble introdusert av Apple i 2004 og utgitt som åpen kildekode i 2011.

Samtidig som mange leverandører har tatt i bruk den frie utgaven, har Apple videreutviklet en proprietær versjon, inkludert å fjerne flere sårbarheter. Men disse har ikke blitt fjernet i den åpne kildekoden.

Berører svært mange enheter

I alle fall to av de største leverandørene av systembrikker til smartmobiler, Qualcomm og Mediatek, har begge brukt deler av den åpne ALAC-kildekoden i sine egne lydkodeker. I fjor oppdaget IT-sikkerhetsselskapet Check Point at enheter med disse kodekene er sårbare for angrep som åpner for fjernkjøring av vilkårlig kode. Alt som skal til for å utnytte sårbarheten, er en spesielt utformet lydfil. 

Sårbarhetene skal også gjøre det mulig for apper å oppnå flere privilegier, inkludert å få tilgang til mediedata og brukersamtaler. 

Både Mediatek og Qualcomm kom sent i fjor med sikkerhetsfikser som fjerner sårbarhetene, som riktignok ikke berører alle brikkesettene til selskapene. Det er ikke utgitt noen oversikt over hvilke brukerenheter som er berørt. 

Mange enheter som er under tre år gamle (fra lanseringsdatoen) bør for lengst har mottatt sikkerhetsfiksene, men det er få leverandører av Android-enheter som kommer med sikkerhetsoppdatering til eldre enheter enn dette. Slike enheter bør bare brukes med stor forsiktighet.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.