Getty Images
Les chercheurs en sécurité ont déclaré avoir découvert une vulnérabilité qui aurait pu permettre aux pirates de réquisitionner des millions d’appareils Android équipés de chipsets mobiles fabriqués par Qualcomm et MediaTek.
La vulnérabilité résidait dans ALAC – abréviation d’Apple Lossless Audio Codec et également connu sous le nom d’Apple Lossless – qui est un format audio introduit par Apple en 2004 pour fournir un son sans perte sur Internet. Alors qu’Apple a mis à jour sa version propriétaire du décodeur pour corriger les vulnérabilités de sécurité au fil des ans, une version open source utilisée par Qualcomm et MediaTek n’avait pas été mise à jour depuis 2011.
Ensemble, Qualcomm et MediaTek fournissent des chipsets mobiles pour environ 95 % des appareils Android américains.
Dispositif d’écoute à distance
Le code ALAC bogué contenait une vulnérabilité hors limites, ce qui signifie qu’il récupérait des données en dehors des limites de la mémoire allouée. Les pirates pourraient exploiter cette erreur pour forcer le décodeur à exécuter un code malveillant qui, autrement, serait interdit.
“Les problèmes ALAC découverts par nos chercheurs pourraient être utilisés par un attaquant pour une attaque d’exécution de code à distance (RCE) sur un appareil mobile via un fichier audio mal formé”, a déclaré jeudi la société de sécurité Check Point. « Les attaques RCE permettent à un attaquant d’exécuter à distance un code malveillant sur un ordinateur. L’impact d’une vulnérabilité RCE peut aller de l’exécution d’un logiciel malveillant à un attaquant prenant le contrôle des données multimédia d’un utilisateur, y compris la diffusion en continu à partir de la caméra d’une machine compromise.
Check Point a cité un chercheur qui a suggéré que les deux tiers de tous les smartphones vendus en 2021 sont vulnérables à l’attaque à moins qu’ils n’aient reçu un correctif.
Publicité
La vulnérabilité ALAC, identifiée comme CVE-2021-30351 par Qualcomm et CVE-2021-0674 et CVE-2021-0675 par MediaTek, peut également être exploitée par une application Android non privilégiée pour élever ses privilèges système aux données multimédias et au microphone de l’appareil, soulevant le spectre de l’écoute clandestine des conversations à proximité et d’autres sons ambiants.
Les deux fabricants de chipsets ont soumis des correctifs l’année dernière à Google ou aux fabricants d’appareils, qui à leur tour ont livré les correctifs aux utilisateurs éligibles en décembre. Les utilisateurs d’Android qui souhaitent savoir si leur appareil est corrigé peuvent vérifier le niveau de correctif de sécurité dans les paramètres du système d’exploitation. Si le niveau de correctif indique une date de décembre 2021 ou ultérieure, l’appareil n’est plus vulnérable. Mais de nombreux combinés ne reçoivent toujours pas de correctifs de sécurité de manière régulière, voire pas du tout, et ceux dont le niveau de correctif est antérieur à décembre 2021 restent sensibles.
La vulnérabilité remet en question la fiabilité du code open source utilisé par Qualcomm et MediaTek et leurs méthodes pour maintenir sa sécurité. Si Apple peut mettre à jour sa base de code propriétaire ALAC au fil des ans pour corriger les vulnérabilités, il est préoccupant que les deux mastodontes du chipset n’aient pas emboîté le pas. La vulnérabilité soulève également la question de savoir quelles autres bibliothèques de code open source utilisées par les fabricants de puces pourraient être également obsolètes.
Dans un communiqué, les responsables de Qualcomm ont écrit :
Fournir des technologies qui prennent en charge une sécurité et une confidentialité robustes est une priorité pour Qualcomm Technologies. Nous félicitons les chercheurs en sécurité de Check Point Technologies d’avoir utilisé des pratiques de divulgation coordonnée conformes aux normes de l’industrie. En ce qui concerne le problème de décodeur audio ALAC qu’ils ont divulgué, Qualcomm Technologies a mis des correctifs à la disposition des fabricants d’appareils en octobre 2021. Nous encourageons les utilisateurs finaux à mettre à jour leurs appareils à mesure que des mises à jour de sécurité sont disponibles.
MediaTek n’a pas immédiatement répondu à un message.
Check Point a déclaré qu’il fournira des détails techniques sur la vulnérabilité le mois prochain lors de la conférence CanSecWest à Vancouver.