Androidに音楽再生で乗っ取りの脆弱性。パッチは公開済み

　セキュリティ研究企業のCheck Point Researchは21日(現地時間)、AndroidではALAC(Apple Lossless Audio Codec)形式のファイルのデコード処理に、リモートからコードを実行される可能性のある脆弱性「ALHACK」があることを明らかにした。これは既に修正パッチが提供されている。

　ALAC形式はAppleによって開発され、ロスレス圧縮の音楽再生を目的としたコーデックである。2011年にAppleはこのコーデックをオープンソースとしたことで、Android、Linux、Windowsといった様々なOSで利用できるようになっている。

　Appleはオープンソース公開以降、デコーダを独自バージョンで数回更新し、セキュリティ問題に対処していたが、共有コードに関しては2011年以降パッチが適用されていない。このため多くのサードパーティベンダーは、この2011年のソースコードをベースにALACデコーダを実装しており、Appleが独自に更新したセキュリティ更新は組み込まれていない。

　Check Point Researchはこのたびの調査で、世界最大のモバイルチップセットメーカーであるQualcommおよびMediaTekが、脆弱性があるコードを含んでいるALACのデコーダを移植して使っていることを発見した。全世界で3分の2のAndroidユーザーがこの脆弱性の影響を受けるという。

　攻撃者は不正なALACファイルを介して、デバイスに対しリモートコードの実行が可能だということを示唆した。悪用されれば、攻撃者はマルウェアの実行、侵入先のカメラやストリーミングといったマルチメディアデータを制御できるだけでなく、特権のないAndroidアプリが特権を昇格させ、メディアデータやユーザーの会話履歴にアクセスできる可能性があるとしている。

　Check Point Researchは既にMediaTekとQualcommに対し情報を開示し、緊密に協力することで脆弱性を修正した。MediaTekは「CVE-2021-0674」および「CVE-2021-0675」をALACの脆弱性に割当、2021年12月のMediaTek Security Bulletinで公開済み。Qualcommは「CVE-2021-30351」としてこの問題を認識し、同年同月のQualcomm Security Bulletinでパッチをリリースした。

　脆弱性の技術的な詳細は、5月18日から20日までに開催されるCanSecWestカンファレンスで明らかにする予定。