2021年に出荷されたAndroidスマホの3分の2に外部から音声にアクセスできる脆弱性があったことが明らかに

Androidスマートフォンに組み込まれたオーディオコーデックのApple Lossless Audio Codec(ALAC)に脆弱(ぜいじゃく)性が存在し、2021年に出荷されたスマートフォンのほぼ3分の2にリモートでコードを実行される危険性があったことが明らかになりました。報道時点で問題はすでに修正済みとのことです。

Largest Mobile Chipset Manufacturers used Vulnerable Audio Decoder, 2/3 of Android users’ Privacy around the World were at Risk - Check Point Software
https://blog.checkpoint.com/2022/04/21/largest-mobile-chipset-manufacturers-used-vulnerable-audio-decoder-2-3-of-android-users-privacy-around-the-world-were-at-risk/

iTunesなどで用いられているALACはもともとAppleにより開発されたオーディオコーディング形式で、2011年にオープンソース化されています。それ以来ALACはAndroidスマートフォンやLinuxおよびWindows向けメディアプレイヤーやコンバーターなど、Apple以外の多くのオーディオ再生デバイスやプログラムに組み込まれています。

Appleは独自バージョンのデコーダーを複数回更新し、セキュリティの問題を修正してパッチを適用していますが、共有コードには2011年以降パッチが適用されていません。このパッチが適用されていない脆弱性のあるALACコードが、世界最大のモバイルチップセットメーカーの2つであるQualcommとMediaTekにより、スマートフォンのオーディオデコーダーに移植されていることが今回明らかになりました。

サイバーセキュリティ企業のCheck Point Researchの調べによると、問題のALACのコードには攻撃者が不正な形式のオーディオファイルを介し、モバイルデバイス上でリモートコード実行攻撃を行える脆弱性があったとのこと。これにより攻撃者がコンピュータ上で悪意のあるコードをリモートで実行してマルウェアの実行からカメラへのアクセスなどを行えたほか、特権のないAndroidアプリを使用してメディアデータやユーザーの会話にアクセスする可能性もあったとのことです。

MediaTekとQualcommのチップセットは2021年第2四半期に合計67％のシェアを獲得しており、そのすべてに脆弱性があったものとみられています。Check Point Researchはすでに両社に情報を開示しており、MediaTekは今回の報告に対応する脆弱性であるCVE-2021-0674およびCVE-2021-0675の修正パッチを2021年12月にリリースし、Qualcommも対応する脆弱性のCVE-2021-30351の修正パッチを2021年12月にリリースしています。