Bug ALAC Membuat Smartphone Android Rentan Terhadap Pengambilalihan

Bug di Apple Lossless Audio Codec (ALAC) berdampak pada dua pertiga perangkat Android yang dijual pada tahun 2021, membuat perangkat yang rentan terhadap pengambilalihan.

ALAC adalah format audio yang dikembangkan oleh Apple untuk digunakan di iTunes pada tahun 2004, memberikan kompresi data lossless. Setelah Apple open-source format pada tahun 2011, perusahaan di seluruh dunia mengadopsinya. Sayangnya, seperti yang ditunjukkan oleh Check Point Research, sementara Apple telah memperbarui versi ALAC-nya sendiri selama bertahun-tahun, versi open source tidak diperbarui dengan perbaikan keamanan sejak tersedia pada tahun 2011. Akibatnya, kerentanan yang tidak ditamapkan termasuk dalam chipset yang dibuat oleh Qualcomm dan Mediatek.

Menurut Check Point Research, baik Mediatek dan Qualcomm memasukkan kode ALAC yang dikompromikan dalam decoder audio chip mereka. Karena itu, peretas dapat menggunakan file audio yang cacat untuk mencapai serangan eksekusi kode jarak jauh atau disebut remote code execution attack (RCE). RCE dianggap sebagai jenis eksploitasi yang paling berbahaya karena tidak memerlukan akses fisik ke perangkat dan dapat dieksekusi dari jarak jauh.

Dengan menggunakan file audio yang cacat, peretas dapat mengeksekusi kode berbahaya, mendapatkan kendali atas file media pengguna, dan mengakses fungsi streaming kamera. Kerentanan bahkan dapat digunakan untuk memberikan aplikasi Android hak istimewa tambahan, memberikan akses hacker ke percakapan pengguna.

Mengingat posisi Mediatek dan Qualcomm di pasar chip seluler, Check Point Research percaya kerentanan tersebut berdampak pada dua pertiga dari semua ponsel Android yang dijual pada tahun 2021. Untungnya, kedua perusahaan mengeluarkan tambalan pada bulan Desember tahun itu, yang dikirim ke hilir ke produsen perangkat.

Meskipun demikian, seperti yang ditunjukkan Ars Technica, kerentanan tersebut menimbulkan pertanyaan serius tentang langkah-langkah yang diambil Qualcomm dan Mediatek untuk memastikan keamanan kode yang mereka terapkan. Apple tidak memiliki masalah memperbarui kode ALAC-nya untuk mengatasi kerentanan, jadi mengapa Qualcomm dan Mediatek tidak melakukan hal yang sama? Mengapa kedua perusahaan mengandalkan kode berusia satu dekade tanpa upaya untuk memastikannya aman dan terkini? Yang paling penting, apakah ada kerangka kerja, perpustakaan, atau codec lain yang digunakan dengan kerentanan serupa?

Meskipun tidak ada jawaban yang jelas, semoga keseriusan episode ini akan memacu perubahan yang bertujuan menjaga keamanan pengguna.

Sumber: https://www.androidauthority.com/alac-android-vulnerability-3155978/