2021년에 출하된 안드로이드 스마트폰의 3분의 2가 외부에서 음성에 액세스 할 수 있는 취약성이 있었던 것으로 밝혀져

2021년에 출하된 안드로이드 스마트폰의 3분의 2가 외부에서 음성에 액세스 할 수 있는 취약성이 있었던 것으로 밝혀져

안드로이드 스마트폰에 내장된 오디오 코덱의 Apple Loss Audio Codec(ALAC)에 취약성이 존재하여 2021년 출고된 스마트폰의 거의 3분의 2에 원격으로 코드를 실행당할 위험이 있었던 것으로 밝혀졌다. 현재 이 문제는 이미 수정되었다고 한다.

iTunes 등에서 사용되는 ALAC는 원래 Apple에서 개발된 오디오 코딩형식으로 2011년에 오픈 소스화되었다. 그 이후 ALAC는 Android 스마트폰이나 Linux 및 Windows용 미디어 플레이어나 컨버터 등, Apple 이외의 많은 오디오 재생 디바이스나 프로그램에 포함되었다.

Apple은 자체 버전의 디코더를 여러 번 업데이트하여 보안 문제를 수정하고 패치를 적용하고 있지만 공유코드에는 2011년 이후 패치가 적용되지 않았다. 이 패치가 적용되지 않은 취약성 있는 ALAC 코드가 세계 최대 모바일 칩셋 제조업체 중 두 곳인 Qualcomm와 MediaTek를 통해 스마트폰의 오디오 디코더에 이식되었다는 사실이 이번에 밝혀졌다.

사이버보안 업체인 Check Point Research의 조사에 따르면 문제의 ALAC 코드에는 공격자가 부정한 형식의 오디오 파일을 통해 모바일 디바이스 상에서 리모트 코드 실행공격을 할 수 있는 취약성이 있었다. 

이로 인해 공격자가 컴퓨터 상에서 악의적인 코드를 리모트로 실행하여 말웨어 실행에서 카메라에 액세스 등을 할 수 있었고 특권이 없는 Android 앱을 사용하여 미디어 데이터나 사용자의 대화에 액세스할 가능성도 있었다고 한다.

Media Tek와 Qual comm의 칩셋은 2021년 2분기에 총 67%의 점유율을 기록하고 있으며, 모두 취약성이 있었던 것으로 보인다. 

Check Point Research는 이미 두 회사에 정보를 공개하였으며, MediaTek는 이번 보고에 대응하는 취약성인 CVE-2021-0674 및 CVE-2021-0675의 수정 패치를 2021년 12월에 출시하고, Qualcomm도 대응하는 취약성의 CVE-2021-30351의 수정패치를 2021년 12월에 발표했다.

Largest Mobile Chipset Manufacturers used Vulnerable Audio Decoder, 2/3 of Android users' Privacy around the World were at Risk
https://blog.checkpoint.com/2022/04/21/largest-mobile-chipset-manufacturers-used-vulnerable-audio-decoder-2-3-of-android-users-privacy-around-the-world-were-at-risk/