अनपेक्षित कोडेक दोष द्वारा उजागर किए गए Android उपकरणों पर लाखों: शोधकर्ता

एक ऑडियो कोडेक में सुरक्षा खामियों को सुरक्षा शोधकर्ताओं द्वारा उजागर किया गया है, जिससे मीडियाटेक और क्वालकॉम के चिपसेट द्वारा संचालित लाखों एंड्रॉइड फोन और अन्य एंड्रॉइड डिवाइस हैकर्स द्वारा समझौता किए जाने के जोखिम में हैं। कई साल पहले Apple द्वारा बनाए गए एक कोडेक से उपजी, कमजोरियों को छोड़ दिया गया था क्योंकि कंपनी ने गैर-Apple उपकरणों पर शामिल करने के लिए 11 साल पहले कोडेक को ओपन-सोर्स किया था। शोधकर्ताओं के अनुसार, सुरक्षा खामियों का लाभ उठाकर, एक हमलावर दूर से एंड्रॉइड फोन के मीडिया और ऑडियो वार्तालापों तक पहुंच प्राप्त कर सकता है।

एक के अनुसार रिपोर्ट good चेक प्वाइंट रिसर्च के शोधकर्ताओं द्वारा, ऐप्पल से ऐप्पल लॉसलेस ऑडियो कोडेक (एएलएसी) में एक दोष एक हमलावर को एक विकृत ऑडियो फ़ाइल भेजने के बाद एक लक्षित स्मार्टफोन पर रिमोट कोड निष्पादन (आरसीई) हमला करने की अनुमति देता है। एक आरसीई हमला हमलावर को हैंडसेट पर मल्टीमीडिया का नियंत्रण हासिल करने की अनुमति दे सकता है, जिसमें कैमरों से वीडियो स्ट्रीमिंग, मीडिया तक पहुंच और उपयोगकर्ता की बातचीत शामिल है।

Apple के ALAC कोडेक में सुरक्षा खामियों की खोज की गई थी, जिसे 2011 में कंपनी द्वारा ओपन-सोर्स किया गया था – गैर-Apple उपकरणों को संगीत को स्ट्रीम करने की अनुमति देता है। ‘दोषरहित’ गुणवत्ता Apple के पहले के मालिकाना कोडेक का उपयोग करना। हालाँकि, जब Apple ने ALAC कोडेक के मालिकाना संस्करण को पैच किया, तो शोधकर्ताओं के अनुसार, ओपन-सोर्स संस्करण अप्रकाशित रहा।

नतीजतन, क्वालकॉम और मीडियाटेक, चिपसेट निर्माता, जिन्होंने कमजोर एएलएसी कोडेक को अपने ऑडियो डिकोडर्स में पोर्ट किया, जिसके परिणामस्वरूप 2021 में बेचे गए सभी स्मार्टफोन में से दो तिहाई से अधिक सुरक्षा खामियों के प्रति संवेदनशील थे, जिसे शोधकर्ताओं के अनुसार “ALHACK” करार दिया गया था। क्वालकॉम और मीडियाटेक को जिम्मेदारी से कमजोरियों का खुलासा किया गया था, जिन्होंने दोनों मुद्दों को स्वीकार किया और खामियों के लिए सामान्य कमजोरियों और एक्सपोजर (सीवीई) को सौंपा। मीडियाटेक असाइन किया गया सीवीई-2021-0674 और सीवीई-2021-0675 (क्रमशः ‘मध्यम’ और ‘उच्च’ रेटिंग के साथ), जबकि क्वालकॉम को सौंपा गया सीवीई-2021-30351 (10 में से 9.8 की ‘क्रिटिकल’ रेटिंग के साथ) ALAC खामियों के लिए, उन्हें ठीक करने से पहले।

शोधकर्ताओं के मुताबिक, दोनों कंपनियों ने इसमें शामिल खामियों के लिए पैच जारी किए हैं दिसंबर 2021 एंड्रॉइड सुरक्षा बुलेटिन, जिसका अर्थ है कि दिसंबर सुरक्षा पैच प्राप्त करने वाले स्मार्टफ़ोन वाले उपयोगकर्ताओं को कमजोरियों से सुरक्षित होना चाहिए। हालांकि, यह पुराने सॉफ़्टवेयर चलाने वाले लाखों उपयोगकर्ताओं या अनियमित सुरक्षा अपडेट प्राप्त करने वाले उपयोगकर्ताओं को छोड़ देता है – जिससे उन्हें हमलावरों द्वारा समझौता किए जाने का खतरा होता है।



Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here