Android можно взломать через аудиофайлы — как защититься

Невеселая правда.

Некоторые Андроид-смартфоны, работающие на процессорах Qualcomm и MediaTek подвержены удаленному взлому через уязвимость в определенных аудиофайлах.

Проблема кроется в аудиокодеке ALAC (Apple Lossless Audio Codec), который позволяет сжимать и в дальнейшем воспроизводить аудофайлы с минимальными потерями качества звука. Увидев в названии кодека слово Apple многие подумают, что этот кодек установлен на Apple-устройствах вроде Айфона, Айпэда и Макбука. Так и есть, но использовался он не только в них. Дело в том, что самая первая версия этого кодека была разработана действительно в Apple и стала применяться начиная с 2004 года. В 2011 году компания Apple решила предоставить всем желающим коды этого кодека и выложила специальную версию ALAC в открытый доступ (вот здесь). Многие начали его использовать. В том числе и для Андроид-смартфонов. Apple с годами продолжала развивать, улучшать этот кодек для собственных продуктов, а выложенная в общий доступ бесплатная версия кодека осталась по прежнему без изменений. За все время, прошедшее с момента открытия доступа к бесплатной версии ALAC-кодека Apple ни разу его не обновила! Неудивительно, что за это время хакеры нашли «дыры» в кодеке и воспользовались ими для своих грязных делишек.

Как происходит взлом Андроид-смартфона

Злоумышленники действуют так. Присылают зараженный аудиофайл  на Андроид-смартфон жертвы. Или жертва сама может скачать этот зараженный музыкальный файл с Интернета под видом чего-то стоящего. При воспроизведении этого файла на Android-смартфоне выполняется вредоносный код, который может изменить настройки смартфона и получить доступ и к микрофону и к камере. Другими словами, хакеры могут получить доступ как к голосовым так и к видео разговорам.

Как защититься

Проблема эта получила название ALHACK и была устранена компаниями Qualcomm и MediaTek в конце 2021 года в очередных обновлениях. Все, что вам нужно — это проверить на вашем Андроид-устройстве доступные обновления и установить их. Для установки обновлений на Андроиде зайдите в настройки смартфона и проверьте возможность обновиться на самую последнюю версию ПО.

Виновата ли Apple?

Вряд ли можно обвинить Apple в том, что она не обновляла абсолютно бесплатную версию аудиокодека ALAC. А вот к компаниям-производителям процессоров Qualcomm и MediaTek претензии можно высказать. Ведь из-за первоначально некорректной проверки аудиофреймов во время воспроизведения ALAC-файлов в смартфонах с этими процессорами и возникла «дыра» в безопасности. Но от ошибок никто не застрахован и не ошибается лишь тот, что ничего не делает.

Всем владельцам Android-устройств мы рекомендуем обновлять свои смартфоны по мере поступления обновлений. 

В мае 2022 на конференции CanSecWest будет зачитан доклад о том, насколько широко хакеры смогли воспользоваться этой уязвимостью.

Может пригодиться:

• Топ-37 самых ожидаемых смартфонов 2022 года
• Топ-5 камерофонов в 2022 году — какой смартфон лучший для фото?
• Топ-10 самых крутых флагманских смартфонов 2022 года

✅ Подписывайтесь на нас в Telegram, ВКонтакте, и Яндекс.Дзен.