Ouvrir le menu principal

iGeneration

Recherche

Faille dans la version open-source du format ALAC d'Apple : des millions de smartphones Android en danger

Mickaël Bazoge

vendredi 22 avril 2022 à 22:00 • 33

Android

Apple est indirectement responsable d'une faille de sécurité qui touche des millions de smartphones Android. Les chercheurs en sécurité de Checkpoint ont en effet dégotté une vulnérabilité dans la version open-source du format d'encodage ALAC, créé par Apple en 2004 et disponible en version open-source depuis 2011.

Crédit : Denny Müller (Unsplash)

Si Apple met régulièrement à jour la version propriétaire du format ALAC dans ses logiciels et systèmes d'exploitation, le code open-source n'a pas fait l'objet d'un suivi aussi consciencieux. En fait, il n'a connu aucun correctif depuis… 2011. Et c'est un sérieux problème, puisqu'on trouve ces bibliothèques dans de nombreux appareils et applications d'autres plateformes que celles d'Apple.

Qualcomm et MediaTek, deux des plus importants fournisseurs de puces mobiles pour les smartphones Android, intègrent la version open-source de l'ALAC dans leurs décodeurs audio qui sont utilisés dans plus de la moitié des téléphones dans le monde. Cela concerne des terminaux sous Android 8.1, 9.0, 10.0 et 11.0.

Checkpoint a déterminé que des malandrins pouvaient exploiter une faille dans l'ALAC open-source pour lancer des attaques à distance sur des smartphones, grâce à un fichier audio malveillant. Les conséquences vont de l'installation de malwares à la prise de contrôle des données multimédia de l'appareil. Cela peut même aller jusqu'à l'écoute des conversations.

La faille de sécurité a été surnommée « ALHACK » par ses découvreurs. Mis au courant en amont comme le veut la règle, Qualcomm et MediaTek ont publié des correctifs en décembre dernier (CVE-2021-30351 chez le premier, CVE-2021-0674 et CVE-2021-0675 chez le second), que les constructeurs doivent maintenant diffuser au plus vite sur leurs appareils si ce n'est pas déjà fait. Checkpoint donnera tous les détails de cette vulnérabilité durant la conférence CanSecWest en mai.

Cette histoire démontre en tout cas qu'il ne suffit pas d'ouvrir le code à la communauté pour lui assurer une sécurité à toute épreuve. Si personne ne fait le boulot de le maintenir à jour, au bout d'un moment les vulnérabilités qui y étaient présentes finissent par apparaitre chez tous ceux qui s'en servent.

Source :

Merci Vincent

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Face aux droits de douane, Apple fait le plein d’iPhone aux États-Unis et compte sur l'Inde

07/04/2025 à 21:06

• 15


Home Assistant 2025.4 se rapproche de Maison avec un tableau de bord automatique par pièce

07/04/2025 à 20:30

• 5


Microsoft donne une mémoire à Copilot pour des réponses plus personnelles

07/04/2025 à 18:15

• 10


La Switch 2 est déjà disponible en précommande chez certains revendeurs, avec des promos 🆕

07/04/2025 à 16:50

• 76


Opération militaire américaine pas si secrète : comment le journaliste s’est retrouvé sur le groupe Signal malgré lui

07/04/2025 à 16:23

• 34


Arcep : la part d'iOS a augmenté en France et varie selon le profil et l'âge des clients

07/04/2025 à 14:30

• 19


Darty : 100 € en carte cadeau sur les iPhone 16 Pro et les MacBook M4 (offre cumulable avec d’autres promos)

07/04/2025 à 11:50

• 0


Arcep : un tiers des abonnés est sur un forfait mobile d'au moins 100 Go

07/04/2025 à 11:45

• 30


Meta AI s’intègre à WhatsApp et Messenger, et vous ne pouvez pas le désactiver

07/04/2025 à 10:07

• 48


Les contre-mesures pour éviter les taxes, l’avenir avec Siri et l’iPhone 17 : la semaine Apple

07/04/2025 à 08:56

• 41


Refurb : des iPad 10 à partir de 289 €

07/04/2025 à 07:00

• 0


SFR à vendre ? Un possible séisme chez les opérateurs français

06/04/2025 à 21:00

• 67


Promo : iPad Air M3 à 713 € (-176 €), iPad A16 à 495 € (-84 €)

06/04/2025 à 09:05

• 8


Prenez-vous des photos avec votre iPad ?

05/04/2025 à 15:00

• 64


Sortie de veille : Apple Intelligence finalement dispo, l’attente récompensée ?

05/04/2025 à 12:17

• 15


Mon écran d'accueil : Pierre et ses trois pages d’apps qu’il n’utilise « pas »

05/04/2025 à 11:00

• 6