Check Point Software Technologiesは4月21日(米国時間)、「Largest Mobile Chipset Manufacturers used Vulnerable Audio Decoder, 2/3 of Android users’ Privacy around the World were at Risk - Check Point Software」において、2021年に販売されたスマートフォンの3分の2が「ALHACK」と呼ばれる脆弱性を抱えている可能性があると伝えた。同社はAndroidユーザーの多くがこのリスクにさらされている危険性があると注意を呼び掛けている。

  • Largest Mobile Chipset Manufacturers used Vulnerable Audio Decoder、2/3 of Android users’ Privacy around the World were at Risk - Check Point Software

    Largest Mobile Chipset Manufacturers used Vulnerable Audio Decoder, 2/3 of Android users’ Privacy around the World were at Risk - Check Point Software

広く使われているオーディオコーディングフォーマットに「ALAC (Apple Lossless Audio Codec)」がある。Appleが開発し、2004年に発表したデジタルサウンドのためのオーディオコーディングフォーマットだ。Appleは2011年にこのコーデックをオープンソースとして公開した。それ以降、ALACはAndroidベースのスマートフォンやWindowsなどのメディアプレーヤなどで活用されている。

Apple自体はオープンソースとして公開した以降、独自のバージョンのデコーダを数回更新し、セキュリティの問題を修正している。一方、多くのサードパーティベンダーは2011年に公開されたバージョンをベースとして利用し、脆弱性を抱えたバージョンを使用している可能性があるという。

Check Point Software Technologiesの研究者らは、QualcommとMediaTekが脆弱性を抱えたALACコードを自社のオーディオデコーダに組み込んだ状態で出荷していたと指摘。これらオーディオデコーダは世界中のスマートフォンの半数以上に搭載されていると推測されており、かなりの数のユーザーがこの脆弱性の影響を受ける可能性がある。

今回発見された脆弱性を悪用された場合、細工されたオーディオファイルを使って攻撃者がスマートフォンにおいてリモートコード実行が可能になるとされている。この脆弱性を利用してユーザのスマートフォンからカメラのストリーミングなどのデータ窃取、特権昇格を行いさまざまな操作を行うなど、多種多様な悪用が可能とされており注意が必要。

Check Point Software Technologiesは、MediaTekおよびQualcommにこの脆弱性について報告しており、既に修正パッチの公開が行われている。スマートフォンベンダーが提供するセキュリティ情報に注目するとともに、アップデートを適用するなどして該当する問題を修正しておくことが望まれる。