ALAC-tiedostojen purkuosiossa ollut bugi jätti miljoonat Qualcommin tai MediaTekin piirejä käyttävät Android-puhelimet haavoittuviksi

Android-laitteista on löydetty haavoittuvuus, joka koskee suurta osaa vuonna 2021 julkaistuista Android-laitteista. Haavoittuvuuden takana on ALAC-koodekki, eli Apple Lossless Audio Codec, joka on Applen häviöttömän musiikin pakkaustekniikka.

Tarkalleen haavoittuvuus koskee MediaTekin ja Qualcommin järjestelmäpiireillä varustettuja puhelimia, sillä kyseisten yritysten ALAC-tiedostojen purkuosiosta löytynyt haavoittuvuus mahdollisti haitallisen ohjelmiston ajamisen saastutetun äänitiedoston avulla. Haavoittuvuuden löytäneen Check Pointin mukaan jopa kaksi kolmesta vuonna 2021 julkaistusta älypuhelimesta on ollut altis haavoittuvuudelle.

Apple on luonut ALAC-koodekin vuonna 2004 ja vuonna 2011 yritys julkaisi ALAC:n avoimena lähdekoodina ja tuota avoimen lähdekoodin versiota on käytetty sittemmin useissa laitteissa. Apple itse on jatkanut sittemmin oman yksinoikeudella käytössä olevan koodekkinsa kehittämistä ja turvallisuuspäivitysten julkaisemista, mutta avoimen lähdekoodin versiota amerikkalaisyritys itse ei ole päivittänyt julkaisun jälkeen.

Qualcommin ja MediaTekin järjestelmäpiirien haavoittuvuuden takana onkin tuo jo yli 10 vuotta vanha avoin lähdekoodi. Haavoittuvuudesta uutisoinut Ars Technica on nostanut ilmoille kysymyksen siitä, mikseivät Qualcomm ja MediaTek ole panostanut koodekin päivittämiseen Applen tavoin.

Haavoittuvuuden löytymisen jälkeen sekä Qualcomm että MediaTek ovat viime vuoden puolella jakaneet puhelinvalmistajille ja Googlelle tilanteen korjaavan päivityksen, joka on lähtenyt jakoon puhelimille viime joulukuussa Googlen tietoturvakorjausten mukana. Eli mikäli puhelimessasi on joulukuun 2021 tietoturvakorjaukset tai uudemmat, ei puhelimesi enää sisällä tässä uutisessa käsiteltyä haavoittuvuutta.

Lähteet: Check Point, Ars Technica, Android Authority