チェック・ポイント・リサーチ、最大手モバイルチップセットメーカー製オーディオコーディングに脆弱性を発見
PR TIMES / 2022年4月29日 18時45分
全世界のAndroidユーザ約7割にプライバシー侵害のリスク
包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジー(Check Point(R) Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、Apple Losslessとして知られるApple Lossless Audio Codec (ALAC) に脆弱性を発見しました。攻撃者がメディアとオーディオの会話にリモートでアクセスする可能性があることが判明しています。
世界最大のモバイルチップセットメーカーであるQualcommとMediaTekが、広く流通しているモバイル端末のオーディオコーディングに脆弱なALACコードを使用し、数百万人のAndroidユーザのプライバシーを危険にさらされていることが判明しています。2021年に販売されたスマートフォン約7割に脆弱性があると推測されます。
Apple Lossless Audio Codec (ALAC)とセキュリティ問題
Apple Losslessとして知られているApple Lossless Audio Codec (ALAC)は、Apple Inc.によって開発され、デジタル音楽の可逆データ圧縮のために2004年に初めて導入されたオーディオコーデック形式です。
2011年末にAppleはこのコーデックをオープンソース化しました。< https://github.com/macosforge/alac > それ以来、ALAC フォーマットは、Android ベースのスマートフォン、Linux、Windows メディアプレーヤー、コンバーターなど、多くの Apple 以外のオーディオ再生デバイスやプログラムに組み込まれるようになりました。
その後、Appleは独自仕様のコーディングを何度かアップデートし、セキュリティ問題の修正やパッチを適用してきましたが、共有コードには2011年以降パッチが適用されていません。サードパーティベンダーの多くは、Appleが提供するコードを自社のALAC実装のベースとしており、その多くは外部コードのメンテナンスを行っていないと考えられます。
脆弱性発見の経緯と脅威の実態
チェック・ポイント・リサーチは、世界最大のモバイルチップセットメーカーであるQualcommとMediaTekが、全世界のスマートフォンの半数以上に搭載されているオーディオコーディングに脆弱なALACコードを移植していたことを明らかにしました。IDC < https://bit.ly/3kkmUSn >によると、2021年第4四半期時点で米国で販売されているAndroid携帯の48.1%がMediaTekを搭載しており、現在Qualcommが47%を占めています。
CPRの研究者が発見したALACの問題は、不正なオーディオファイルを通じて、攻撃者がモバイルデバイス上でリモートコード実行攻撃(RCE)に使用することができます。RCE攻撃は、攻撃者がコンピュータ上で悪意のあるコードをリモートで実行することを可能にします。RCE脆弱性の影響は、マルウェアの実行から、侵害されたマシンのカメラからストリーミング映像の入手を含むユーザのマルチメディアデータの制御を攻撃者が取得することまで、多岐にわたります。
さらに、権限のないAndroidアプリがこれらの脆弱性を利用して権限を昇格させ、メディアデータやユーザの通話にアクセスする可能性があります。
チェック・ポイント・リサーチが脆弱性を修正
チェック・ポイント・リサーチは、MediaTek および Qualcomm に情報を開示し、両ベンダーと緊密に連携してこれらの脆弱性の修正に取り組みました。
MediaTekは、CVE-2021-0674およびCVE-2021-0675をALACの問題に割り当てています。これらの脆弱性はすでに修正され、2021年12月のMediaTek Security Bulletinで公開されています。Qualcommは、2021年12月のQualcomm Security BulletinでCVE-2021-30351に対するパッチを公開しました。
Harmony Mobile Security < https://www.checkpoint.com/jp/harmony/mobile-security/mobile/ > を使用されているチェック・ポイントのお客様は、このような脅威から完全に保護されます。
本プレスリリースは、米国時間2022年4月21日に発表されたチェック・ポイントのブログ(英語) < https://blog.checkpoint.com/2022/04/21/largest-mobile-chipset-manufacturers-used-vulnerable-audio-decoder-2-3-of-android-users-privacy-around-the-world-were-at-risk/ > の抄訳版です。
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
Apple Vision Proにキーボード入力の内容がばれる脆弱性
マイナビニュース / 2024年9月17日 17時35分
-
Microsoft、9月の更新プログラム配信開始 - 4件の脆弱性の悪用確認済み
マイナビニュース / 2024年9月12日 7時33分
-
Androidに緊急の脆弱性、一部はすでにサイバー攻撃に悪用か
マイナビニュース / 2024年9月5日 15時32分
-
D-Linkの無線LANルータに緊急の脆弱性、使用中止または交換を
マイナビニュース / 2024年9月4日 12時54分
-
古いネットワークカメラの脆弱性が悪用されている、使用中止または交換を
マイナビニュース / 2024年8月31日 15時51分
ランキング
-
1「今買わないと後悔しますよ」 客を萎えさせる「店員の声かけ」はこれだ
ITmedia ビジネスオンライン / 2024年9月22日 8時5分
-
2福井のブランド米「いちほまれ」の新米、昨年より価格6割高で店頭に…生産量は2000トン増の見通し
読売新聞 / 2024年9月22日 8時43分
-
3「無料のモノはもらわない」お金のマイルール 日々を健やかに過ごす「失敗を許容するお金」
東洋経済オンライン / 2024年9月22日 9時0分
-
4「三菱商事、伊藤忠、ゴールドマン・サックス」がずらり…偏差値55なのに就職実績"最強"の「地方マイナー大学」の秘密
プレジデントオンライン / 2024年9月22日 10時15分
-
5「チープカシオ」なぜ人気? 安価だけではない、若者に支持される理由
ITmedia ビジネスオンライン / 2024年9月22日 7時10分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください