Apple est indirectement responsable d'une faille de sécurité qui touche des millions de smartphones Android. Les chercheurs en sécurité de Checkpoint ont en effet dégotté une vulnérabilité dans la version open-source du format d'encodage ALAC, créé par Apple en 2004 et disponible en version open-source depuis 2011.
Si Apple met régulièrement à jour la version propriétaire du format ALAC dans ses logiciels et systèmes d'exploitation, le code open-source n'a pas fait l'objet d'un suivi aussi consciencieux. En fait, il n'a connu aucun correctif depuis… 2011. Et c'est un sérieux problème, puisqu'on trouve ces bibliothèques dans de nombreux appareils et applications d'autres plateformes que celles d'Apple.
Qualcomm et MediaTek, deux des plus importants fournisseurs de puces mobiles pour les smartphones Android, intègrent la version open-source de l'ALAC dans leurs décodeurs audio qui sont utilisés dans plus de la moitié des téléphones dans le monde. Cela concerne des terminaux sous Android 8.1, 9.0, 10.0 et 11.0.
Checkpoint a déterminé que des malandrins pouvaient exploiter une faille dans l'ALAC open-source pour lancer des attaques à distance sur des smartphones, grâce à un fichier audio malveillant. Les conséquences vont de l'installation de malwares à la prise de contrôle des données multimédia de l'appareil. Cela peut même aller jusqu'à l'écoute des conversations.
La faille de sécurité a été surnommée « ALHACK » par ses découvreurs. Mis au courant en amont comme le veut la règle, Qualcomm et MediaTek ont publié des correctifs en décembre dernier (CVE-2021-30351 chez le premier, CVE-2021-0674 et CVE-2021-0675 chez le second), que les constructeurs doivent maintenant diffuser au plus vite sur leurs appareils si ce n'est pas déjà fait. Checkpoint donnera tous les détails de cette vulnérabilité durant la conférence CanSecWest en mai.
Cette histoire démontre en tout cas qu'il ne suffit pas d'ouvrir le code à la communauté pour lui assurer une sécurité à toute épreuve. Si personne ne fait le boulot de le maintenir à jour, au bout d'un moment les vulnérabilités qui y étaient présentes finissent par apparaitre chez tous ceux qui s'en servent.
Source : Merci Vincent
