Apple Lossless Audio Codec(簡稱 ALAC)是蘋果公司于 2004 年推出的無損音頻編解碼技術，蘋果于 2011 年在 Apache-2.0 協議下開源了該技術。在尚未開源的時候，ALAC 主要用于蘋果自己的 iPod、iPhone、Mac 等設備，如今開源后的 ALAC 已被許多廠商用于非蘋果設備上。

雖說蘋果開源了 ALAC，但在過去這么多年的時間里，蘋果只改進了該編解碼器的專有版本，而開源版本在過去 11 年中并未更新過。眾所周知，一個項目長期不維護也就伴隨著風險。

網絡安全公司 Check Point 的研究人員近日發現，開源的 ALAC 存在嚴重的漏洞，該漏洞允許攻擊者在受影響的設備上進行遠程代碼執行(RCE)攻擊。而聯發科和高通這兩大移動芯片制造商都在旗下的音頻解碼器中使用了相關代碼。

根據市場研究機構在 2021 年 Q4 的調查，聯發科和高通是目前市場占有率排名第一和第二的兩家移動芯片制造商，兩者的市場份額相加已超過 60%。正因如此，Check Point 預計 2021 銷售的 Android 手機中，三分之二都受到該漏洞的影響(還不包括更老舊的 Android 型號)。

而 IDC 在 2021 年統計的手機出貨量數據顯示，2021 年全球手機出貨量為 13.5 億部，排除掉蘋果后仍有 11 億部，粗略計算一下受影響的 Android 手機也超過 7 億部(下圖中的數量單位為 “百萬”)。

Check Point 表示，這個名為 ALHACK 的漏洞會使 Android 用戶的隱私面臨風險。這些漏洞可以通過專門制作的音頻文件來觸發，可以引發遠程代碼執行。

Check Point 在博文中解釋道：

• RCE 漏洞的影響范圍從惡意軟件執行到攻擊者獲得對用戶多媒體數據的控制。此外，沒有特權的 Android 應用可以利用這些漏洞提升其權限，獲得對媒體數據和用戶會話的訪問權。

聯發科與高通已于 2021 年 12 月發布補丁，修復了該漏洞(高通將該漏洞的嚴重性評為 9.8 分，滿分 10 分)。據聯發科稱，漏洞影響了運行 Android 8.1、9.0、10.0 和 11.0 版本的設備中使用的數十款聯發科芯片。

熟悉 Android 的用戶都知道，Android 的版本更新和安全修復存在嚴重的碎片化現象，Google 和芯片廠商無法直接推送這些更新內容，Android 手機的更新通常是交由各個廠商自己負責，一般情況下也只有 Google 自己的 Pixel 和三星等大廠近幾年的產品才能獲得更新。

不過話又說回來，高通和聯發科作為目前市場上的兩大移動芯片廠商，可以說是人才濟濟，財力雄厚，但他們并未向所依賴的代碼提供貢獻，看起來似乎也沒嚴格審查相關代碼的安全性。

本文轉自OSCHINA

本文標題：蘋果開源技術讓數億 Android 設備面臨 RCE 風險

本文地址：https://www.oschina.net/news/192846/apple-alac-vulnerability