सेब नामक एक ऑडियो प्रारूप विकसित किया Apple दोषरहित ऑडियो कोडेक (ALAC) 2004 में iTunes में उपयोग करने के लिए। यह ऑडियो प्रारूप दोषरहित डेटा संपीड़न की पेशकश करता है। प्रारूप को दुनिया भर की कंपनियों द्वारा अपनाया गया था जब Apple ने 2011 में इसे ओपन-सोर्स किया था। अब एक नई रिपोर्ट बताती है कि इसमें एक बग है ALAC दो-तिहाई को प्रभावित कर सकता है एंड्रॉयड डिवाइस जो 2021 में बेचे गए थे और बिना पैच वाले डिवाइस शत्रुतापूर्ण हमलावरों द्वारा अधिग्रहण के लिए असुरक्षित हैं।
एएलएसी बग क्या है?
चेक प्वाइंट रिसर्च की एक रिपोर्ट के अनुसार, ऐप्पल ने वर्षों से अपने स्वयं के एएलएसी संस्करण को अपडेट करना जारी रखा है, इस बीच, ओपन-सोर्स संस्करण को 2011 में घोषित किए जाने के बाद से किसी भी सुरक्षा सुधार के साथ अपडेट नहीं किया गया है। सुरक्षा सुधारों की कमी की अनुमति है द्वारा विकसित प्रोसेसर में शामिल किए जाने के लिए एक अप्रकाशित भेद्यता क्वालकॉम और मीडियाटेक.
क्या बग इतना खतरनाक बनाता है?
रिपोर्ट बताती है कि मीडियाटेक और क्वालकॉम दोनों ने अपने चिपसेट के ऑडियो डिकोडर्स में समझौता किए गए ALAC कोड को शामिल किया है। इस भेद्यता का उपयोग एक हैकर द्वारा एक विकृत ऑडियो फ़ाइल पर रिमोट कोड निष्पादन आक्रमण (RCE) शुरू करने के लिए किया जा सकता है। के लिए आरसीई हमले, हैकर्स को लक्ष्य डिवाइस तक भौतिक पहुंच की आवश्यकता नहीं है और हमले को दूरस्थ रूप से निष्पादित कर सकते हैं। यह RCE को सबसे खतरनाक तरह का हैकिंग अटैक बनाता है।
हैकर्स उपयोगकर्ता की मीडिया फ़ाइलों पर नियंत्रण हासिल कर सकते हैं और विकृत ऑडियो फ़ाइल का उपयोग करके कैमरे की स्ट्रीमिंग कार्यक्षमता तक पहुंच सकते हैं। इस बग का उपयोग विशिष्ट एंड्रॉइड ऐप्स को कुछ अतिरिक्त अनुमतियां देने के लिए भी किया जा सकता है जो हैकर को उपयोगकर्ता की बातचीत तक पहुंचने में मदद करेगा। वैश्विक मोबाइल चिप में मीडियाटेक और क्वालकॉम की बाजार हिस्सेदारी को ध्यान में रखते हुए, रिपोर्ट का दावा है कि यह समस्या 2021 में बेचे गए सभी एंड्रॉइड फोन के दो-तिहाई को प्रभावित करती है। हालांकि, दोनों कंपनियों ने दिसंबर 2021 में फिक्स जारी किए जो अंततः डिवाइस निर्माताओं को डाउनस्ट्रीम भेज दिए गए थे।
Ars Technica की एक अन्य रिपोर्ट में उल्लेख किया गया है कि भेद्यता उन कदमों के बारे में कुछ गंभीर सवाल उठाती है जो क्वालकॉम और मीडियाटेक अपने द्वारा लागू किए जा रहे कोड की सुरक्षा सुनिश्चित करने के लिए उठा रहे हैं। उम्मीद है, इस दुर्घटना की गंभीरता उन परिवर्तनों को प्रेरित कर सकती है जो उपयोगकर्ताओं को सुरक्षित रखने पर ध्यान केंद्रित करेंगे।
