苹果开源技术让数亿 Android 设备面临 RCE 风险
Apple Lossless Audio Codec(简称 ALAC)是苹果公司于 2004 年推出的无损音频编解码技术,苹果于 2011 年在 Apache-2.0 协议下开源了该技术。在尚未开源的时候,ALAC 主要用于苹果自己的 iPod、iPhone、Mac 等设备,如今开源后的 ALAC 已被许多厂商用于非苹果设备上。 虽说苹果开源了 ALAC,但在过去这么多年的时间里,苹果只改进了该编解码器的专有版本,而开源版本在过去 11 年中并未更新过。众所周知,一个项目长期不维护也就伴随着风险。 网络安全公司 Check Point 的研究人员近日发现,开源的 ALAC 存在严重的漏洞,该漏洞允许攻击者在受影响的设备上进行远程代码执行(RCE)攻击。而联发科和高通这两大移动芯片制造商都在旗下的音频解码器中使用了相关代码。 根据市场研究机构在 2021 年 Q4 的调查,联发科和高通是目前市场占有率排名第一和第二的两家移动芯片制造商,两者的市场份额相加已超过 60%。正因如此,Check Point 预计 2021 销售的 Android 手机中,三分之二都受到该漏洞的影响(还不包括更...
