Smartfony z Androidem, wyposażone w chipsety firm MediaTek oraz Qualcomm, pozwalały na szpiegowanie użytkowników. Wszystko za sprawą luki w zabezpieczeniach kodeka ALAC (Apple Lossless Audio Control), które pozwalały m.in. na zdalny dostęp do multimediów i rozmów telefonicznych. Według stojących za odkryciem specjalistów z Check Point Research, podatności mogły być w relatywnie prosty sposób wykorzystane przez zaawansowanych hakerów.

Apple Lossless Audio Codec (ALAC), znany również jako Apple Lossless, to format kodowania audio, opracowany przez firmę Apple i wprowadzony po raz pierwszy w 2004 roku do bezstratnej kompresji danych muzyki cyfrowej. Pod koniec 2011 roku Apple opracował i udostępnił kodek open source, który osadzony jest wielu urządzeniach i programach do odtwarzania dźwięku, w tym w smartfonach z systemem Android, odtwarzaczach multimedialnych i konwerterach z systemem Linux i Windows.

W międzyczasie Apple kilkakrotnie aktualizowało zastrzeżoną wersję dekodera, naprawiając i łatając problemy z bezpieczeństwem, jednak współdzielony kod nie był brany pod lupę od 2011 roku. Eksperci Check Point Research potwierdzili, że Qualcomm i MediaTek wykorzystywały podatny kod ALAC do swoich dekoderów audio.

- Wykryliśmy zestaw luk, które można było wykorzystać do tzw. zdalnego wykonania oraz eskalacji uprawnień na dwóch trzecich urządzeń mobilnych na świecie. Luki można było łatwo wykorzystać, np. za sprawą złośliwego pliku multimedialnego, który po otwarciu wstrzykiwałby kod w uprzywilejowaną usługę multimedialną. Mogło to skutkować dostępem do obrazu z ekranu telefonu komórkowego. W naszym studium udało nam się z kolei wykraść strumień transmisji z kamery telefon – mówi Slava Makkaveev, ekspert inżynierii wstecznej i badaczka zabezpieczeń w Check Point Research.

Check Point Research poinformował o odkryciu firmy MediaTek oraz Qualcomm i ściśle współpracował z producentami nad załataniem luk. MediaTek przypisał im identyfikatory CVE-2021-0674 i CVE-2021-0675. Luki zostały naprawione i opublikowane w Biuletynie Bezpieczeństwa MediaTek z grudnia 2021 roku. Qualcomm opublikował poprawkę dla identyfikatora CVE-2021-30351 w biuletynie Qualcomm Security Bulletin z grudnia 2021 r. Z powodu potencjalnego wykorzystania Check Point Research poinformował opinię publiczną o swoim odkryciu po przeszło 5 miesiącach, natomiast szczegóły techniczne ujawni dopiero podczas konferencji CanSecWest, odbywającej się w dniach 18-20 maja 2022.

Aby zachować bezpieczeństwo komunikacji, eksperci zalecają zainstalowanie w swoich smartfonach najnowszych łatek bezpieczeństwa udostępnionych przez producentów.