關於 cookie 的說明

本網站使用瀏覽器紀錄 (Cookies) 來提供您最好的使用體驗,我們使用的 Cookie 也包括了第三方 Cookie。相關資訊請訪問我們的隱私權與 Cookie 政策。如果您選擇繼續瀏覽或關閉這個提示,便表示您已接受我們的網站使用條款。

Check Point Research:全球三分之二 Android 使用者恐面臨隱私洩露風險

文章來源 : APEX 發表時間 : 瀏覽次數 : 12532 加入收藏 :
Check Point Research 於高通和聯發科的音訊解碼器中發現漏洞

高通及聯發科採用 Apple 所開源的音訊解碼器含漏洞導致音訊及視訊資料外 

 

【臺北訊2022 04 28 日】全球網路安全解決方案領導廠商 Check Point® Software Technologies Ltd.NASDAQ股票代碼CHKP的威脅情報部門 Check Point Research 高通Qualcomm聯發MediaTek的音訊解碼器Audio Decoder中發現漏洞此漏洞是基於一個 Apple 11 年前開源的程式碼;若未及時修補,攻擊者將能夠遠端存取媒體和對話音訊,或透過惡意遠端程式碼執行RCE威脅全球三分之二的行動裝置 

 

Apple 開發的保真壓縮音訊編解碼器Apple Lossless Audio CodecALAC一種音訊編碼格式 2004 年首次推出用於數位音樂的保真音訊壓縮並於 2011 年底開源ALAC 格式自此應用於許多非 Apple 音訊播放設備和程式中包括 Android 智慧手機、Linux Windows 媒體播放及轉換器。此後 Apple 多次更新並修補私有版本解碼器但開源版本自 2011 年以來就未再更新Check Point Research 團隊發現,高通和聯發科都在其音訊解碼器中採用了含有安全漏洞的 ALAC 

 

此漏洞可能被攻擊者用於遠端程式碼執行透過異常音訊檔對行動裝置發起攻擊此類型漏洞影響層面廣,包含惡意軟體執行攻擊者能成功控制使用者多媒體資料,例如能串流受攻擊裝置的攝影畫面此外,權限較低的 Android 應用程式用這些漏洞提升權限存取使用者的媒體資料和對話紀錄 

 

Check Point Research 向工程和安全研究部 Slava Makkaveev 指出:「組漏洞能讓攻擊者全球三分之二的行動裝置遠端執行提升權限,且這些漏洞很容易被利用受害者只要播放攻擊者傳送的一首歌曲(媒體檔案),惡意程式碼便成功注入權限較高的媒體服務攻擊看到使用者在手機上查的資訊 Check Point Research 的概念驗證PoC中,我們也證實能夠直接串流受害手機的攝影畫面。手機最敏感資訊包含音訊及視訊媒體服務,攻擊者能透過漏洞成功竊取這些資訊其中易受攻擊碼器源自於 Apple 11年前開源的程式碼 

 

Check Point Research 聯發科和高通揭露相關資訊並與這兩家廠商密切合作確保這些漏洞得以盡快修復。聯發科將漏洞命名為 CVE-2021-0674 CVE-2021-0675目前這些漏洞已修復,並發佈在 2021 12 月聯發科產品安全佈告欄中;高通則在 2021 12 月高通安全佈告欄中發佈了 CVE-2021-30351 的修補程式 

 

Check Point Software 建議使用者可依循 Google 每月發佈的安全性公告更新手機。 

 

關注 Check Point Software 

 

關於 Check Point Software Technologies Ltd. 

Check Point Software Technologies Ltd. (www.checkpoint.com是全球領先的政府企業網路安全解決方案供應商。Check Point Infinity 的解決方案組合以領先業界的惡意軟體、勒索軟體與其他攻擊手法攔截率,有效保護企業和公家機關免於第五代網路攻擊。「Infinity」的三大核心支柱可於各類企業環境中提供全面防護與針對第五代網路攻擊的進階威脅防護:專為遠距辦公而生的 Check Point Harmony、提供自動化雲端防護的 Check Point CloudGuard、以及用於保護網路邊界和資料中心的 Check Point QuantumCheck Point 以最全面、最直觀的單點控制安全管理系統,為超過 10 萬家各種規模的企業提供安全防護。 

 

關於 Check Point Research 

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網路威脅情報。Check Point 研究團隊負責蒐集和分析 ThreatCloud 儲存的全球網路攻擊數據,以便在防範駭客時,確保所有 Check Point 產品都享有最新保護措施。此外,該團隊由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執法機關及各個計算機安全應急機關展開合作。 

 

以上新聞投稿內容由 APEX 全權自負責任,若有涉及任何違反法令、違反本網站會員條款、有侵害第三人權益之虞,將一概由 APEX 承擔法律及損害賠償之責任,與台灣產經新聞網無關。

Tags :
2025 年 1 月 21 日 (星期二) 農曆十二月廿二日
首 頁 我的收藏 搜 尋 新聞發佈