提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

Android Authority上的链接可能会为我们赢得佣金。了解更多

< p>苹果无损音频编解码器（alac）中的一个bug影响了2021出售的三分之二的Android设备，使未修补的设备容易被接管。p>

ALAC是苹果公司于2004年开发的一种音频格式，用于iTunes，提供无损数据压缩。2011年，苹果公司公开了这种格式，世界各地的公司都采用了这种格式。不幸的是，正如Check Point Research指出的那样，虽然苹果多年来一直在更新自己的ALAC版本，但自2011年发布以来，开源版本没有更新安全补丁。因此，高通公司和联发科制造的芯片组中包含了一个未修补的漏洞

根据Check Point Research，联发科和高通都在其芯片的音频解码器中包含了泄露的ALAC代码。因此，黑客可以使用格式错误的音频文件实现远程代码执行攻击（RCE）。RCE被认为是最危险的一种攻击，因为它不需要对设备进行物理访问，并且可以远程执行

黑客可以使用格式错误的音频文件执行恶意代码，控制用户的媒体文件，并访问摄像头的流媒体功能。该漏洞甚至可以用来赋予Android应用程序额外的权限，让黑客能够访问用户的对话

尽管如此，正如Ars Technica指出的那样，该漏洞对高通公司和联发科为确保其实施的代码的安全性而采取的措施提出了严重质疑。苹果在更新ALAC代码以解决漏洞方面没有问题，那么为什么高通和联发科不这么做呢？为什么这两家公司依赖于已有十年历史的代码，却没有试图确保它是安全的和最新的？最重要的是，是否有其他框架、库或编解码器被用于类似的漏洞

虽然没有明确的答案，但希望这一事件的严重性将刺激旨在确保用户安全的变化

2023-03-22 10:04:52