Apple Audio Code มีช่องโหว่ที่รุนแรง
2023.02.01
CONTENTS
Apple Audio Code มีช่องโหว่ที่รุนแรง
ตัวแปลงสัญญาณเสียงของ Apple ที่พัฒนาขึ้นในปี 2547 และผลิตเป็นซอฟต์แวร์โอเพ่นซอร์สตั้งแต่ปี 2554 มีรายงานว่าเต็มไปด้วยช่องโหว่ด้านความปลอดภัยที่ร้ายแรงซึ่งอาจทำให้ผู้ใช้ Android ตื่นตระหนก Apple Lossless Audio Codex (ALAC) เป็นซอฟต์แวร์โอเพ่นซอร์สที่อยู่ระหว่างการเจรจาและขณะนี้ได้รับเลือกจากผู้ผลิตสมาร์ทโฟนหลายราย เช่น Qualcomm และ MediaTek จุดตรวจสอบ บริษัท รักษาความปลอดภัยทางไซเบอร์ตรวจพบว่าซอฟต์แวร์โอเพ่นซอร์สไม่ได้รับการอัปเดตตั้งแต่ปี 2554 ดังนั้นจึงมีความเป็นไปได้สูงที่จะถูกโจมตีทางไซเบอร์โดยอาชญากรไซเบอร์โดยใช้ช่องโหว่ของ ALHACK
MediaTek ทราบถึงช่องโหว่ที่นำไปสู่ข้อบกพร่องสองประการ CVE-2021-0675 และ CVE-2021-0674 ทั้งคู่ได้รับมอบหมายให้เป็นข้อบกพร่องในระดับสูงและปานกลาง ในขณะที่ Qualcomm ระบุข้อบกพร่องดังกล่าวเป็นระดับร้ายแรงโดยติดแท็กเป็น CVE-2021-30351 รายงานระบุว่า Apple ได้ปรับปรุง Codec เวอร์ชันที่เป็นกรรมสิทธิ์เป็นครั้งคราว ดังนั้นจึงไม่ต้องกังวลกับผู้ใช้ แต่ได้แสดงการละเลยต่อโอเพนซอร์สโค้ดซึ่งขณะนี้บุคคลที่สามกำลังใช้เป็นตัวถอดรหัสเสียงแบบเปิด
หมายเหตุ 1- หากในกรณีที่อาชญากรไซเบอร์ใช้ตัวแปลงสัญญาณเสียง มีความเป็นไปได้สูงที่พวกเขาสามารถเข้าถึงกล้องและโฟลเดอร์สื่อของผู้ใช้ Android โดยไม่ต้องใช้ความพยายามอย่างมาก
หมายเหตุ 2- นักวิจัยของ Check Point จะเปิดเผยรายละเอียดทางเทคนิคเพิ่มเติมในรายละเอียดที่ CanSecWest Conference ในแวนคูเวอร์
Apple Audio Code has severe vulnerabilities affecting millions of smart phone devices
บทความที่เกี่ยวข้อง
ข่าว
ความปลอดภัย
Oracle แจ้งลูกค้าหลังเกิดเหตุ Data Breach ทำให้ข้อมูลหลุดจากระบบ Cloud
Oracle แจ้งลูกค้าหลังเกิดเหตุ Data Breach ทำให้ข้อมูลหลุดจากระบบ Cloud
2025.04.10
ข่าว
ความปลอดภัย
มัลแวร์มือถือที่กำหนดเป้าหมายธนาคารในอินเดียทำให้ผู้ใช้กว่า 50,000 รายเสี่ยงต่อการถูกโจมตี
การโจมตีอุปกรณ์เคลื่อนที่ขนาดใหญ่ นักวิจัยของ zLabs วิเคราะห์ตัวอย่างมัลแวร์เกือบ 900 ตัวอย่างและพบความพยายามร่วมกันในการใช้ประโยชน์จากอุปกรณ์ Android มัลแวร์ซึ่งจัดอยู่ในประเภทโทรจันของธนาคาร ปลอมตัวเป็นแอปธนาคารหรือแอปของรัฐบาลที่ถูกกฎหมายและแพร่กระจายผ่าน WhatsApp ในรูปแบบไฟล์ APK เมื่อติดตั้งแล้ว มัลแวร์จะขอข้อมูลที่ละเอียดอ่อน
2025.03.14
ข่าว
ความปลอดภัย
แฮกเกอร์ชาวเกาหลีเหนือตั้งเป้านักพัฒนาอิสระเพื่อหลอกลวงการทำงานด้วยมัลแวร์
นักพัฒนาซอฟต์แวร์อิสระเป็นเป้าหมายของแคมเปญต่อเนื่องที่ใช้การล่อใจที่เกี่ยวข้องกับการสัมภาษณ์งานเพื่อส่งมอบมัลแวร์ข้ามแพลตฟอร์มที่รู้จักกันในชื่อ BeaverTail และ InvisibleFerret กิจกรรมดังกล่าวซึ่งเชื่อมโยงกับเกาหลีเหนือมีชื่อรหัสว่า DeceptiveDevelopment ซึ่งทับซ้อนกับคลัสเตอร์ที่ติดตามภายใต้ชื่อContagious Interview (หรือCL-STA-0240 ), DEV#POPPER, Famous Chollima, PurpleBravo และ Tenacious Pungsan แคมเปญนี้ดำเนินไปอย่างต่อเนื่องตั้งแต่ช่วงปลายปี 2023 เป็นอย่างน้อย บริษัทด้านความปลอดภัยทางไซเบอร์ ESET กล่าวในรายงานที่แบ่งปันกับ The Hacker News ว่า"DeceptiveDevelopment กำหนดเป้าหมายนักพัฒนาซอฟต์แวร์อิสระผ่านการฟิชชิ่งแบบเจาะจงบนเว็บไซต์หางานและฟรีแลนซ์ โดยมีเป้าหมายเพื่อขโมยกระเป๋าสตางค์สกุลเงินดิจิทัลและข้อมูลการเข้าสู่ระบบจากเบราว์เซอร์และตัวจัดการรหัสผ่าน"
2025.02.21
