Ouvrir le menu principal

iGeneration

Recherche

Faille dans la version open-source du format ALAC d'Apple : des millions de smartphones Android en danger

Mickaël Bazoge

vendredi 22 avril 2022 à 22:00 • 33

Android

Apple est indirectement responsable d'une faille de sécurité qui touche des millions de smartphones Android. Les chercheurs en sécurité de Checkpoint ont en effet dégotté une vulnérabilité dans la version open-source du format d'encodage ALAC, créé par Apple en 2004 et disponible en version open-source depuis 2011.

Crédit : Denny Müller (Unsplash)

Si Apple met régulièrement à jour la version propriétaire du format ALAC dans ses logiciels et systèmes d'exploitation, le code open-source n'a pas fait l'objet d'un suivi aussi consciencieux. En fait, il n'a connu aucun correctif depuis… 2011. Et c'est un sérieux problème, puisqu'on trouve ces bibliothèques dans de nombreux appareils et applications d'autres plateformes que celles d'Apple.

Qualcomm et MediaTek, deux des plus importants fournisseurs de puces mobiles pour les smartphones Android, intègrent la version open-source de l'ALAC dans leurs décodeurs audio qui sont utilisés dans plus de la moitié des téléphones dans le monde. Cela concerne des terminaux sous Android 8.1, 9.0, 10.0 et 11.0.

Checkpoint a déterminé que des malandrins pouvaient exploiter une faille dans l'ALAC open-source pour lancer des attaques à distance sur des smartphones, grâce à un fichier audio malveillant. Les conséquences vont de l'installation de malwares à la prise de contrôle des données multimédia de l'appareil. Cela peut même aller jusqu'à l'écoute des conversations.

La faille de sécurité a été surnommée « ALHACK » par ses découvreurs. Mis au courant en amont comme le veut la règle, Qualcomm et MediaTek ont publié des correctifs en décembre dernier (CVE-2021-30351 chez le premier, CVE-2021-0674 et CVE-2021-0675 chez le second), que les constructeurs doivent maintenant diffuser au plus vite sur leurs appareils si ce n'est pas déjà fait. Checkpoint donnera tous les détails de cette vulnérabilité durant la conférence CanSecWest en mai.

Cette histoire démontre en tout cas qu'il ne suffit pas d'ouvrir le code à la communauté pour lui assurer une sécurité à toute épreuve. Si personne ne fait le boulot de le maintenir à jour, au bout d'un moment les vulnérabilités qui y étaient présentes finissent par apparaitre chez tous ceux qui s'en servent.

Source :

Merci Vincent

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Android aura droit à son propre keynote une semaine avant le Google I/O

28/04/2025 à 21:30

• 0


Une quatrième bêta pour iOS et iPadOS 18.5

28/04/2025 à 19:09

• 15


Seekee : le navigateur mettant en avant des contenus piratés toujours présent sur l’App Store

28/04/2025 à 16:03

• 20


La Beats Pill disponible en deux nouvelles couleurs, mais pas partout

28/04/2025 à 16:00

• 4


À quoi ressembleront les AirPods Pro 3 ? Voici les nouveautés attendues

28/04/2025 à 14:42

• 29


Fire OS : Amazon devrait bientôt abandonner Android pour un nouveau système basé sur Linux

28/04/2025 à 12:53

• 21


Orange TV bénéficie d’une meilleure qualité d’image sur Apple TV

28/04/2025 à 11:40

• 22


France Identité : le permis de conduire numérique va devenir plus complet

28/04/2025 à 10:40

• 40


Netflix va systématiquement proposer des sous-titres dans la langue d’origine du contenu

28/04/2025 à 08:14

• 13


Fin des remaniements internes, déplacement d’usines et projets de réalité augmentée : la semaine Apple

27/04/2025 à 22:18

• 33


Test d'un traqueur Bluetooth à moins de 4 € : est-il vraiment aussi bien qu'un AirTag ?

27/04/2025 à 10:00

• 19


Promos : iPhone 13 256 Go à 579 €, l'iPhone 16e à 660 € et l'iPhone 16 à 800 €

26/04/2025 à 19:35

• 9


Émulation : comment jouer à ses vieux jeux sur iPhone ou iPad ?

26/04/2025 à 10:00

• 12


Pour le producteur de La Maison, « Apple est la pire boîte marketing de l’univers »

25/04/2025 à 22:15

• 110


Apple TV+ : USS Greyhound aura une suite en 2027

25/04/2025 à 21:30

• 11


Nest fait du ménage dans sa gamme, et abandonne le marché européen des thermostats connectés

25/04/2025 à 21:00

• 75