ALAC音频格式存漏洞，全球超半数 Android 用户隐私受威胁

4月21日，Check Point在其官方博客披露，研究人员在去年发现了 ALAC 格式的漏洞，这些漏洞可能导致攻击者远程访问目标设备中的媒体和音频对话。

ALAC是苹果公司2004年开发的一种无损音频格式，并于2011年正式开源。Check Point
发现，全球最大的两家移动芯片组制造商——高通和联发科都将易受攻击的 ALAC 代码移植到其音频解码器中，全球一半以上的智能手机都在使用这些解码器。

研究人员发现，该漏洞会让攻击者利用格式错误的音频文件，在目标设备上执行远程代码执行攻击
(RCE)，并可进一步控制用户的多媒体数据，包括利用设备的摄像头拍摄音视频。此外，该漏洞允许特定安卓应用提权，并获得对媒体数据和用户对话的访问权。

Check Point已向联发科和高通共享了调查结果，协助处理漏洞问题。联发科将 ALAC 漏洞跟踪为 CVE-2021-0674 和
CVE-2021-0675，而高通将其跟踪为 CVE-2021-30351。这些漏洞已在2021年12月得到了修复。

CheckPoint 的研究人员没有透露该漏洞的更多细节以避免在野外被利用，但他们计划在 2022 年 5 月即将举行的 CanSecWest
公布更加详细的信息。

参考来源：<https://securityaffairs.co/wordpress/130459/hacking/critical-bug-
popular-chipsets-android-hack.html>

网安&黑客学习资料包

基于最新的kali讲解，循序渐进地对黑客攻防剖析。适合不同层次的粉丝。我希望能为大家提供切实的帮助，讲解通俗易懂，风趣幽默，风格清新活泼，学起来轻松自如，酣畅淋漓！

学习资料工具包

压箱底的好资料，全面地介绍网络安全的基础理论，包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等，将基础理论和主流工具的应用实践紧密结合，有利于读者理解各种主流工具背后的实现机制。

面试题资料

独家渠道收集京东、360、天融信等公司测试题！进大厂指日可待！

因篇幅有限，仅展示部分资料，需要可扫描下方卡片获取~