Kritischer Fehler in Android macht Zugriff auf Mediendateien der Nutzer möglich

Sicherheitsanalysten von Check Point Research haben festgestellt, dass Android-Geräte mit Qualcomm- und MediaTek-Chipsätzen anfällig für Ausführung von Remotecode sind.

Das Risiko besteht, durch einen Fehler in der Implementierung des Apple Lossless Audio Codec (ALAC). ALAC ist ein Audiocodierformat für verlustfreie Audiokomprimierung, das Apple 2011 als Open Source zur Verfügung stellte. Seitdem hat das Unternehmen immer wieder Updates für das Format veröffentlicht, darunter auch Sicherheitsfixes, die jedoch nicht von allen Drittanbietern, die den Codec verwenden, angewendet werden. Laut dem Bericht von Check Point Research gehören dazu auch Qualcomm und MediaTek, zwei der größten Smartphone-Chiphersteller der Welt.

Verseuchte Audiodatei führt Code aus

Die Analysten haben noch nicht viele Details über die tatsächliche Ausnutzung der Schwachstellen bekannt gegeben, wollen dies aber in den nächsten Wochen tun. Aus den bisher bekannten Details geht hervor, dass die Schwachstelle es einem Angreifer ermöglicht, Code auf einem Zielgerät auszuführen, indem er eine verseuchte Audiodatei sendet und den Benutzer dazu verleitet, diese zu öffnen. Die Forscher nennen diesen Angriff “ALHACK”.

Die Auswirkungen von Angriffen mit ferngesteuerter Codeausführung haben schwerwiegende Folgen und reichen von Datenverletzungen über das Einschleusen und Ausführen von Malware, die Änderung von Geräteeinstellungen, den Zugriff auf Hardwarekomponenten wie Mikrofon und Kamera bis hin zur Übernahme von Konten. Laut Analyse der Forscher leiden die ALAC-Decoder-Implementierungen von Qualcomm und MediaTek unter möglichen Out-of-Bounds-Lese- und -Schreibvorgängen und einer unsachgemäßen Validierung der während der Musikwiedergabe übergebenen Audio-Frames.

Die ALAC-Schwachstellen wurden von MediaTek und Qualcomm im Dezember 2021 behoben und werden als CVE-2021-0674 (mittlerer Schweregrad mit einer Bewertung von 5,5), CVE-2021-0675 (hoher Schweregrad mit einer Bewertung von 7,8) und CVE-2021-30351 (kritischer Schweregrad mit einer Bewertung von 9,8) geführt.

Patchen und verdächtige Audiodateien nicht öffnen

Wer sicher gehen will, sollte in diesem Fall den Android-Patch-Level “Dezember 2021” oder später verwenden. Wenn das Gerät keine Sicherheitsupdates mehr vom Hersteller erhält, ist die Installation einer Android-Distribution eines Drittanbieters, die noch Android-Patches bereitstellt, eine Option. Audiodateien von unbekannten oder verdächtigen Quellen, sollten nicht geöffnet werden, da sie die Sicherheitslücke auslösen könnten.