チェック・ポイント・リサーチ、最大手モバイルチップセットメーカー製オーディオコーディングに脆弱性を発見
PR TIMES / 2022年4月29日 18時45分
全世界のAndroidユーザ約7割にプライバシー侵害のリスク
包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジー(Check Point(R) Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、Apple Losslessとして知られるApple Lossless Audio Codec (ALAC) に脆弱性を発見しました。攻撃者がメディアとオーディオの会話にリモートでアクセスする可能性があることが判明しています。
世界最大のモバイルチップセットメーカーであるQualcommとMediaTekが、広く流通しているモバイル端末のオーディオコーディングに脆弱なALACコードを使用し、数百万人のAndroidユーザのプライバシーを危険にさらされていることが判明しています。2021年に販売されたスマートフォン約7割に脆弱性があると推測されます。
Apple Lossless Audio Codec (ALAC)とセキュリティ問題
Apple Losslessとして知られているApple Lossless Audio Codec (ALAC)は、Apple Inc.によって開発され、デジタル音楽の可逆データ圧縮のために2004年に初めて導入されたオーディオコーデック形式です。
2011年末にAppleはこのコーデックをオープンソース化しました。< https://github.com/macosforge/alac > それ以来、ALAC フォーマットは、Android ベースのスマートフォン、Linux、Windows メディアプレーヤー、コンバーターなど、多くの Apple 以外のオーディオ再生デバイスやプログラムに組み込まれるようになりました。
その後、Appleは独自仕様のコーディングを何度かアップデートし、セキュリティ問題の修正やパッチを適用してきましたが、共有コードには2011年以降パッチが適用されていません。サードパーティベンダーの多くは、Appleが提供するコードを自社のALAC実装のベースとしており、その多くは外部コードのメンテナンスを行っていないと考えられます。
脆弱性発見の経緯と脅威の実態
チェック・ポイント・リサーチは、世界最大のモバイルチップセットメーカーであるQualcommとMediaTekが、全世界のスマートフォンの半数以上に搭載されているオーディオコーディングに脆弱なALACコードを移植していたことを明らかにしました。IDC < https://bit.ly/3kkmUSn >によると、2021年第4四半期時点で米国で販売されているAndroid携帯の48.1%がMediaTekを搭載しており、現在Qualcommが47%を占めています。
CPRの研究者が発見したALACの問題は、不正なオーディオファイルを通じて、攻撃者がモバイルデバイス上でリモートコード実行攻撃(RCE)に使用することができます。RCE攻撃は、攻撃者がコンピュータ上で悪意のあるコードをリモートで実行することを可能にします。RCE脆弱性の影響は、マルウェアの実行から、侵害されたマシンのカメラからストリーミング映像の入手を含むユーザのマルチメディアデータの制御を攻撃者が取得することまで、多岐にわたります。
さらに、権限のないAndroidアプリがこれらの脆弱性を利用して権限を昇格させ、メディアデータやユーザの通話にアクセスする可能性があります。
チェック・ポイント・リサーチが脆弱性を修正
チェック・ポイント・リサーチは、MediaTek および Qualcomm に情報を開示し、両ベンダーと緊密に連携してこれらの脆弱性の修正に取り組みました。
MediaTekは、CVE-2021-0674およびCVE-2021-0675をALACの問題に割り当てています。これらの脆弱性はすでに修正され、2021年12月のMediaTek Security Bulletinで公開されています。Qualcommは、2021年12月のQualcomm Security BulletinでCVE-2021-30351に対するパッチを公開しました。
Harmony Mobile Security < https://www.checkpoint.com/jp/harmony/mobile-security/mobile/ > を使用されているチェック・ポイントのお客様は、このような脅威から完全に保護されます。
本プレスリリースは、米国時間2022年4月21日に発表されたチェック・ポイントのブログ(英語) < https://blog.checkpoint.com/2022/04/21/largest-mobile-chipset-manufacturers-used-vulnerable-audio-decoder-2-3-of-android-users-privacy-around-the-world-were-at-risk/ > の抄訳版です。
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
XiaomiのAndroidデバイスに20件の脆弱性、アップデートを
マイナビニュース / 2024年5月9日 15時47分
-
軽量HTTP/HTTPSプロキシーデーモンの「Tinyproxy」に緊急の脆弱性
マイナビニュース / 2024年5月9日 12時31分
-
ロシアの脅威グループがWindowsの印刷スプーラーの脆弱性悪用、アップデートを
マイナビニュース / 2024年4月30日 12時53分
-
Kubernetesで不正マイニング、OpenMetadataの脆弱性を突く攻撃発見
マイナビニュース / 2024年4月23日 11時19分
-
チェック・ポイント・リサーチ、2024年3月に最も活発だったマルウェアを発表 Remcosの新たな展開手法を発見、国内ではFormbookが引き続き首位に
PR TIMES / 2024年4月16日 16時15分
ランキング
-
1初めての上京での住まい、失敗したことは? 3位「間取りが不便」、2位「想像より狭かった」、1位は?
J-CAST会社ウォッチ / 2024年5月12日 21時15分
-
2無味のミネラルウォーターが若年層に好まれる理由 23年過去最高の販売実績を記録した「サントリー天然水」 ブランドの牽引役は天然水本体
食品新聞 / 2024年5月12日 17時1分
-
3中央線「グリーン車導入」の増収効果は?JR東日本が明らかに 投資額は約860億円
乗りものニュース / 2024年5月13日 7時12分
-
4危険な「第4種踏切」なぜ無くならない? 事故が起きてから重い腰を上げる行政
乗りものニュース / 2024年5月12日 9時42分
-
5京葉線だけの問題か? 快速の“大幅減”地域に厳しいダイヤ改正が断行される根本原因 議論に欠落した視点
乗りものニュース / 2024年5月13日 9時42分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください