Apple ALAC 音频编码存漏洞，全球 2/3 Android用户隐私受威胁

有外媒发现全球很大的两间流动芯片制造商Qualcomm和MediaTek将易受攻击的ALAC代码移植至他们的音频编解码器中，这些解码器用于全球一半以上的智能手机上，约全球2/3的Android用户的私隐或受到威胁。

由Apple开发的Apple Lossless Audio Codec （ALAC），于2004年首次推出，亦称为Apple Lossless。 其是一种音频编码格式，用于数字音乐的无损数据压缩。 目前 ALAC 格式已使用到许多非 Apple 音频播放设备和程序中，其中包括 Android 智能手机、Linux 及 Windows 媒体播放器和转换器。

外媒《Check Point Research》发现，ALAC 可能会被攻击者通过用于移动设备上格式错误的音频文件，利用远程代码进行攻击（RCE）。 其影响范围从恶意软件执行到攻击者控制用户的多媒体数据，其中包括受感染装置摄影器及流媒体。 此外，非特权的 Android 应用程序可以利用这些漏洞来提升其权限以获得对媒体数据和用户对话的访问。

Apple 曾多次更新解码器版本以修补安全问题，但其共享程式码自 2011 年以来一直未修补。 然而，许多第三方供应商使用苹果提供的代码作为自己ALAC的基础实现。 其中，《Check Point Research》发现 Qualcomm 和 MediaTek 将易受攻击的 ALAC 代码移植到他们的音频解码器中。

根据IDC截至2021年第四季度的数据，在美国销售的所有Android手机中，有48.1%由MediaTek提供，而Qualcomm目前拥有47%市场占有率。 《Check Point Research》表示，己向此两家供应商透露信息并密切合作，以确保这些漏洞得到修复。