Android: Schwachstellen im Apple Lossless Audio Codec (ALAC)

[English]Sicherheitsforscher von Check Point Research sind auch Schwachstellen im Apple Lossless Audio Codec (ALAC) gestoßen. Die Schwachstellen gefährden die Privatsphäre von Android-Nutzern, da Angreifer auf die Benutzerdaten zugreifen können. Das betrifft sowohl Geräte mit MediaTek- als auch mit Qualcomm-CPUs.

Qualcomm und MediaTek, die größten Hersteller von Mobiltelefon-Chipsätzen, verwendeten anfällige Audio-Decoder in Smartphones. Die Sicherheitsforscher von Check Point Research (CPR), sind auf Schwachstellen in den Audio-Decodern von Qualcomm und MediaTek gestoßen. Ein Angreifer hätte weiterhin Zugriff auf Medien und Audiogespräche erhalten können. CPR schätzt, dass mehr als zwei Drittel aller Mobiltelefone weltweit irgendwann in den letzten Jahren anfällig waren. Der verwundbare Teil basiert auf einem Code, der von Apple vor elf Jahren veröffentlicht wurde, aber nicht gepflegt worden ist.

Die Schwachstellen wurden im Apple Lossless Audio Codec (ALAC) gefunden, der auch als Apple Lossless bekannt ist. ALAC ist ein bekanntes Format für die Audio-Codierung, das von Apple entwickelt und erstmals 2004 zur verlustfreien Datenkomprimierung von digitaler Musik eingeführt wurde. Ende 2011 stellte Apple den Codec als Open Source zur Verfügung. Seitdem ist das ALAC-Format in viele Geräte und Programme zur Audiowiedergabe eingebettet worden, die nicht von Apple stammen. Darunter befinden sich auch Android-basierte Smartphones, Linux- und Windows-Mediaplayer und Konverter.

Seitdem hat Apple die proprietäre Version des Decoders mehrmals aktualisiert und Sicherheitslücken behoben, der gemeinsame Code wurde allerdings seit 2011 nicht mehr aktualisiert. Viele Drittanbieter verwenden den von Apple bereitgestellten Code als Grundlage für ihre eigenen ALAC-Implementierungen und es ist anzunehmen, dass viele von ihnen den externen Code nicht pflegen. CPR hat herausgefunden, dass Qualcomm und MediaTek, zwei der weltweit größten Hersteller von Mobilfunk-Chipsätzen, den anfälligen ALAC-Code in ihre Audio-Decoder portiert haben, die in mehr als der Hälfte aller Smartphones weltweit eingesetzt werden. Laut IDC wurden im vierten Quartal 2021 stolze 48,1 Prozent aller in den USA verkauften Android-Telefone von MediaTek betrieben, während Qualcomm dort derzeit einen Marktanteil von 47 Prozent hält.

Die von den Forschern gefundenen ALAC-Probleme konnten von einem Angreifer für einen Remote-Code-Execution-Angriff (RCE) auf einem mobilen Gerät über eine fehlerhafte Audiodatei genutzt werden. RCE-Angriffe ermöglichen es einem Hacker, aus der Ferne einen bösartigen Code auf einem Computer auszuführen. Die Auswirkungen einer RCE-Schwachstelle können von der Ausführung von Malware bis hin zur Übernahme der Kontrolle über die Multimediadaten eines Benutzers reichen, einschließlich des Streamings von der Kamera eines infizierten Geräts. Außerdem könnte eine Android-Anwendung diese Schwachstellen ausnutzen, um ihre Berechtigungen zu erweitern und Zugriff auf Mediendaten und Benutzergespräche zu erhalten.

CPR hat die Informationen an MediaTek und Qualcomm weitergegeben und eng mit beiden Anbietern zusammengearbeitet, um sicherzustellen, dass diese Schwachstellen behoben werden. MediaTek ordnete CVE-2021-0674 und CVE-2021-0675 den ALAC-Problemen zu. Die Schwachstellen wurden bereits behoben und im MediaTek Security Bulletin vom Dezember 2021 veröffentlicht. Qualcomm veröffentlichte den Patch für CVE-2021-30351 im Qualcomm Security Bulletin vom Dezember 2021. CPR hat den Benutzern Zeit gegeben, die Patches anzuwenden. Bis dahin waren die Geräte angreifbar. Aktuell ist mir unklar, ob und welche Geräte die Updates erhalten haben – mir sind da keine System-Updates aufgefallen.

Slava Makkaveev, Reverse Engineering & Security Research bei Check Point Software Technologies, erklärt: „Wir haben eine Reihe von Schwachstellen entdeckt, die für Remote-Ausführung und die Erweiterung von Privilegien auf zwei Dritteln der weltweiten mobilen Geräte genutzt werden können. Die Schwachstellen waren leicht ausnutzbar. Ein Hacker hätte ein Lied (oder irgendeine eine Mediendatei) senden und beim Abspielen durch ein Opfer einen Code in den privilegierten Mediendienst injizieren können. Der Hacker hätte sehen können, was der Mobiltelefonbenutzer auf seinem Telefon sieht. In unserem Proof of Concept konnten wir den Kamera-Stream des Telefons stehlen. Was sind die sensibelsten Informationen auf einem Telefon? Ich denke, das sind die Medien-Dateien: Audio- und Video. Ein Angreifer hätte sie durch diese Schwachstellen stehlen können. Der verwundbare Decoder basiert auf dem Code, der von Apple vor 11 Jahren freigegeben wurde."

Hinweis: CPR gibt die technischen Details seiner Forschungsergebnisse zum jetzigen Zeitpunkt noch nicht bekannt. Diese Details werden auf der CanSecWest-Konferenz im Mai 2022 vorgestellt. Einzelheiten lassen sich in diesem Blog-Beitrag nachlesen.