<

Jutaan Perangkat Android Terkena Cacat Codec Lossless Apple yang Belum Ditambal: Peneliti

Kelemahan keamanan dalam codec audio telah ditemukan oleh peneliti keamanan, menempatkan jutaan ponsel Android dan perangkat Android lainnya yang ditenagai oleh chipset dari MediaTek dan Qualcomm dalam risiko disusupi oleh peretas. Berasal dari codec yang dibuat oleh Apple beberapa tahun yang lalu, kerentanan dibiarkan tidak ditambal sejak perusahaan membuka source codec 11 tahun yang lalu, untuk dimasukkan pada perangkat non-Apple. Dengan memanfaatkan kelemahan keamanan, penyerang bisa dari jarak jauh mendapatkan akses ke media dan percakapan audio ponsel Android, menurut para peneliti.

Menurut laporan oleh para peneliti di Check Point Research, cacat pada Apple Lossless Audio Codec (ALAC) dari Apple memungkinkan penyerang melakukan serangan remote code execution (RCE) pada smartphone target, setelah mengirim file audio yang salah format. Serangan RCE dapat memungkinkan penyerang untuk mendapatkan kendali multimedia pada handset, termasuk streaming video dari kamera, mengakses media dan percakapan pengguna.

Kelemahan keamanan ditemukan di codec ALAC Apple, yang bersumber terbuka oleh perusahaan pada tahun 2011 — memungkinkan perangkat non-Apple untuk mengalirkan musik di kualitas ‘tanpa kerugian’ menggunakan codec milik Apple sebelumnya. Namun, sementara Apple menambal versi codec ALAC yang dipatenkan, versi sumber terbuka tetap tidak ditambal, menurut para peneliti.

Akibatnya, Qualcomm dan MediaTek, produsen chipset yang mem-porting codec ALAC yang rentan ke dekoder audio mereka, mengakibatkan lebih dari dua pertiga dari semua smartphone yang dijual pada tahun 2021 rentan terhadap kelemahan keamanan, yang dijuluki “ALHACK”, menurut para peneliti. Kerentanan secara bertanggung jawab diungkapkan kepada Qualcomm dan MediaTek, yang keduanya mengakui masalah tersebut dan menetapkan Common Vulnerabilities and Exposures (CVE) untuk kekurangannya. MediaTek ditugaskan CVE-2021-0674 dan CVE-2021-0675 (dengan peringkat ‘Sedang’ dan ‘Tinggi’, masing-masing), sementara Qualcomm menetapkan CVE-2021-30351 (dengan peringkat ‘Kritis’ 9,8 dari 10) untuk kekurangan ALAC, sebelum menambalnya.

Menurut para peneliti, kedua perusahaan telah mengeluarkan tambalan untuk kekurangan yang termasuk dalam Desember 2021 Buletin keamanan Android, yang berarti bahwa pengguna dengan ponsel cerdas yang menerima patch keamanan bulan Desember harus aman dari kerentanan. Namun, ini membuat jutaan pengguna yang menjalankan perangkat lunak usang, atau pengguna yang menerima pembaruan keamanan yang tidak menentu — membuat mereka berisiko disusupi oleh penyerang.


.

<

About mukhlis.net

blogging and sharing

Leave a Reply

Your email address will not be published.