image

Androidtelefoons kwetsbaar voor aanval met malafide audiobestanden

donderdag 21 april 2022, 15:13 door Redactie, 0 reacties

Onderzoekers hebben drie kwetsbaarheden ontdekt waarmee het mogelijk is om Androidtelefoons door middel van malafide audiobestanden aan te vallen. De beveiligingslekken bevinden zich in de audiodecoders van chipfabrikanten Qualcomm en MediaTek die beiden in december met beveiligingsupdates kwamen. Het probleem zit hem specifiek in de decoder voor bestanden in het Apple Lossless Audio Codec (ALAC) format.

Bij het afspelen van een malafide audiobestand op een Androidtoestel met een Qualcomm-chipset kan er een buffer overflow ontstaan die remote code execution mogelijk maakt. De impact van dit beveiligingslek, aangeduid als CVE-2021-30351, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. In het geval van MediaTek gaat het om twee kwetsbaarheden, CVE-2021-0674 en CVE-2021-0675, maar is de impact kleiner. Een malafide app op het toestel zou informatie kunnen stelen of aanvullende permissies kunnen krijgen.

De drie kwetsbaarheden werden gevonden door onderzoekers van securitybedrijf Check Point en gerapporteerd aan beide chipfabrikanten. De onderzoekers zullen volgende maand tijdens de CanSecWest-conferentie details van de lekken openbaar maken. Eerder deze maand bleek dat Androidtelefoons ook kwetsbaar waren voor malafide FLAC-bestanden. Hoewel er voor de kwetsbaarheden updates zijn uitgerold, zullen die niet alle Androidtelefoons bereiken. Zo heeft Google de Android-updates van december alleen beschikbaar gemaakt voor Android 9, 10, 11 en 12.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.