Apple Lossless Audio Codec（简称 ALAC）是苹果公司于 2004 年推出的无损音频编解码技术，苹果于 2011 年在 Apache-2.0 协议下开源了该技术。在尚未开源的时候，ALAC 主要用于苹果自己的 iPod、iPhone、Mac 等设备，如今开源后的 ALAC 已被许多厂商用于非苹果设备上。

虽说苹果开源了 ALAC，但在过去这么多年的时间里，苹果只改进了该编解码器的专有版本，而开源版本在过去 11 年中并未更新过。众所周知，一个项目长期不维护也就伴随着风险。

网络安全公司 Check Point 的研究人员近日发现，开源的 ALAC 存在严重的漏洞，该漏洞允许攻击者在受影响的设备上进行远程代码执行（RCE）攻击。而联发科和高通这两大移动芯片制造商都在旗下的音频解码器中使用了相关代码。

根据市场研究机构在 2021 年 Q4 的调查，联发科和高通是目前市场占有率排名第一和第二的两家移动芯片制造商，两者的市场份额相加已超过 60%。正因如此，Check Point 预计 2021 销售的 Android 手机中，三分之二都受到该漏洞的影响（还不包括更老旧的 Android 型号）。

而 IDC 在 2021 年统计的手机出货量数据显示，2021 年全球手机出货量为 13.5 亿部，排除掉苹果后仍有 11 亿部，粗略计算一下受影响的 Android 手机也超过 7 亿部（下图中的数量单位为 “百万”）。

Check Point 表示，这个名为 ALHACK 的漏洞会使 Android 用户的隐私面临风险。这些漏洞可以通过专门制作的音频文件来触发，可以引发远程代码执行。

Check Point 在博文中解释道：

RCE 漏洞的影响范围从恶意软件执行到攻击者获得对用户多媒体数据的控制。此外，没有特权的 Android 应用可以利用这些漏洞提升其权限，获得对媒体数据和用户会话的访问权。

联发科与高通已于 2021 年 12 月发布补丁，修复了该漏洞（高通将该漏洞的严重性评为 9.8 分，满分 10 分）。据联发科称，漏洞影响了运行 Android 8.1、9.0、10.0 和 11.0 版本的设备中使用的数十款联发科芯片。

熟悉 Android 的用户都知道，Android 的版本更新和安全修复存在严重的碎片化现象，Google 和芯片厂商无法直接推送这些更新内容，Android 手机的更新通常是交由各个厂商自己负责，一般情况下也只有 Google 自己的 Pixel 和三星等大厂近几年的产品才能获得更新。

不过话又说回来，高通和联发科作为目前市场上的两大移动芯片厂商，可以说是人才济济，财力雄厚，但他们并未向所依赖的代码提供贡献，看起来似乎也没严格审查相关代码的安全性。