Faille dans la version open-source du format ALAC d'Apple : des millions de smartphones Android en danger
Apple est indirectement responsable d'une faille de sécurité qui touche des millions de smartphones Android. Les chercheurs en sécurité de Checkpoint ont en effet dégotté une vulnérabilité dans la version open-source du format d'encodage ALAC, créé par Apple en 2004 et disponible en version open-source depuis 2011.
Si Apple met régulièrement à jour la version propriétaire du format ALAC dans ses logiciels et systèmes d'exploitation, le code open-source n'a pas fait l'objet d'un suivi aussi consciencieux. En fait, il n'a connu aucun correctif depuis… 2011. Et c'est un sérieux problème, puisqu'on trouve ces bibliothèques dans de nombreux appareils et applications d'autres plateformes que celles d'Apple.
Qualcomm et MediaTek, deux des plus importants fournisseurs de puces mobiles pour les smartphones Android, intègrent la version open-source de l'ALAC dans leurs décodeurs audio qui sont utilisés dans plus de la moitié des téléphones dans le monde. Cela concerne des terminaux sous Android 8.1, 9.0, 10.0 et 11.0.
Checkpoint a déterminé que des malandrins pouvaient exploiter une faille dans l'ALAC open-source pour lancer des attaques à distance sur des smartphones, grâce à un fichier audio malveillant. Les conséquences vont de l'installation de malwares à la prise de contrôle des données multimédia de l'appareil. Cela peut même aller jusqu'à l'écoute des conversations.
La faille de sécurité a été surnommée « ALHACK » par ses découvreurs. Mis au courant en amont comme le veut la règle, Qualcomm et MediaTek ont publié des correctifs en décembre dernier (CVE-2021-30351 chez le premier, CVE-2021-0674 et CVE-2021-0675 chez le second), que les constructeurs doivent maintenant diffuser au plus vite sur leurs appareils si ce n'est pas déjà fait. Checkpoint donnera tous les détails de cette vulnérabilité durant la conférence CanSecWest en mai.
Cette histoire démontre en tout cas qu'il ne suffit pas d'ouvrir le code à la communauté pour lui assurer une sécurité à toute épreuve. Si personne ne fait le boulot de le maintenir à jour, au bout d'un moment les vulnérabilités qui y étaient présentes finissent par apparaitre chez tous ceux qui s'en servent.
« Alhack » : la personne qui a trouvé ce nom mérite qu’on lui attribue une médaille ou deux
@bibalox
Ahah oui !
@bibalox
je parie que c'est Michael !!
Comme quoi la vision que l’open source est forcément plus sécurisé que les systèmes propriétaires n’est pas automatique.
Forcément, si le logiciel n'est pas mis à jour depuis plus de 10 ans !
@TheDeepShadow
open source = tout le monde y a acces pour decortiquer. Un logiciel open-source utilisé à large echelle et dont personne ne se preocuppe deviendra en effet un soucis mais Apple n'est pas directement responsable, faudrait voir la licence mais je doute.
@Mac1978
Oui c’est évident en fait.
Rien depuis 2011 ?? C’est dingue ! Sur le projet open source que je maintient on a des bugs tous les jours alors que le truc existe depuis 20 ans. Je n’ose même pas imaginer l’état du machin…
Alhack Akback ?
Désolé j’ai pas pu me retenir…
C’est juste de un jeu de mots hein, pas chercher plus loin…
Bon d’accord, je sors…
@bozzo
😂😂😂
Je ne comprends pas pourquoi Android 12 ne serait pas touché à moins que les constructeurs aient été prévenus avant.
Et je ne comprends pas pourquoi une organisation/fondation n’a pas repris le code ALAC d’Apple en Open Source pour s’en occuper.
@valcapri
"Je ne comprends pas pourquoi Android 12 ne serait pas touché à moins que les constructeurs aient été prévenus avant.
Et je ne comprends pas pourquoi une organisation/fondation n’a pas repris le code ALAC d’Apple en Open Source pour s’en occuper."
C’est dur de ne pas comprendre 💊
Toutes mes pleureuses 🤡
Ce qui est fou c’est de commercialiser un produit dont un composant logiciel n’est pas maintenu depuis 10 ans, c’est se moquer du client.
@radeon
Ben justement, Apple ne le commercialise pas. C’est une version Opensource : n’importe quel contributeur peut apporter des correctifs. Ça veut surtout dire que la communauté Opensource s’en est complètement désinterressée jusque là.
Apple n’a pas bloqué les mises à jour (qui sont gérées par Android), la version n’a juste pas évolué entre 2011 et les failles récemment bouchées en urgence pas deux fabricants cités dans l’article.
Maintenant, Apple aurait évidemment pu contribuer et répercuter des ajouts qu’elle a fait à la version commerciale…
@Silverscreen
Je ne parlais pas d’Apple mais des autres fabricants qui se sont servis sans contribuer
@ radeon
> Je ne parlais pas d’Apple mais des autres fabricants qui se sont servis sans contribuer
Et bien il me semble que ce soit la règle.
Dans ma boite aussi on utilise du code open-source pour éviter dans des domaines non stratégiques de réinventer la roue.
Et faire des économies.
On utilise, mais on ne contribue pas.
Mais on fait attention à bien utiliser les dernières mises à jour quand il y en a. (Ce qui peut poser d'autres problèmes, mais c'est un autre sujet.)
Récemment j'ai compilé un outil open-source pour l'un de nos services, et j'ai apporté de petites améliorations et corrigé quelques petits bogues. J'ai demandé à mon "directeur technique" si on pouvait officiellement contribuer au projet open-source, et bien il m'a répondu de le faire en mon nom propre !
Et bien c'est ce que je vais faire... Au moins j'en tirerai peut-être quelque chose à titre perso.
@marc_os
Oui je suis d’accord avec toi, son attitude est déplorable, mon propos porte sur le fait de vendre un truc qui a de bonnes chances d’avoir des problèmes vu que personne n’y a touché depuis 10 ans, bugs, failles, incompatibilités …
Et je salue ton initiative d’apporter tes corrections à titre personnel.
Hé ho la maintenance ce n’est pas magique non plus !
Si personne n’a constaté de problème depuis 2011 il n’y a aucune raison que qui que ce soit se sente obligé de faire des réparations.
On parle d’un décodeur audio ! Les utilisateurs peuvent écouter l’audio et n’entendent pas de la daube alors c’est que ça marche et tout le monde est content.
Alors les fautifs, on peut aussi bien dire que se sont les chercheurs qui n’ont pas trouvé ça pendant 11 ans. Tant qu’ils ne cherchaient pas, ils avaient moins de chance de trouver 🤷♂️
Ou alors s’ils ont mis 11 ans à trouver on peut espérer que la faille n’était pas évidente pour les malandrins non plus.
Ah et puis… les failles n’apparaissent pas avec le temps… elles sont découvertes après un certain temps !
De même que les bugs n’arrivent pas parce qu’un programme s’use quand on s’en sert. Ils SONT latents et un jour quelqu’un tombe dedans.
@Phiphi
Merci pour ce rappel de bon sens !
Si la faille n.existe pas dans la version qu'utilise Apple c'est bien qu'Apple a trouvé cette faille et l'a corrigée. Ils auraient pu avoir le bon goût de mettre à jour la version publiée en open source
Tu n'en sais rien, peut etre qu'Apple, qui fait évoluer le format de son coté, à modifié son fonctionnement sur certains aspects qui bloquent directement cette faille sans qu'elle ait été détectée.
Peut etre que le fonctionnement d'iOS et ses sécurités bloquent cet accès également, donc ils ne sont probablement pas au courant de cette faille, lis le commentaire de Phiphi au dessus du tiens, un peu de réflexion avant de s'enflammer.
@pacolapo
😂
😉
@r e m y
T’en sais rien. Le code a pu diverger pour d’autres raisons, et puis le même code sur deux systèmes différents peut ne pas avoir le même résultat, vu que ce n’est même pas tout à fait les mêmes architectures processeur. Il y a nombre d’intermédiaire pour passer du code source au code processeur. Des compilateurs, interpréteurs, assembleurs (je ne sais pas comment on appelle ça de nos jours) différents peuvent donner des résultats différents.
De mon temps le même Cobol fonctionnait bien ou mal selon qu’on soit sur un unix ou un autre, sur du DPS7 ou du DPS8, qu’on tourne en MVS-CICS ou TDS-CICS, qu’on ait telle ou telle version du compilateur alors qu’ils étaient supposés compatibles.
C’est comme dans la vraie vie, il peut y avoir quarante-douze-huit façons d’arriver chez toi avec la bonne adresse en arrivant du même aéroport 🤷♂️
La faute à Apple, mdr. L’open source ça sert à être maintenu par la communauté, c’est la faute aux intégrateurs qui n’ont pas fait de contribution.
@heu
Apple a potentiellement vu la faille, et décidé de laisser des millions de personnes vulnérables. Comme on parle de faille critique, ils auraient justement pu contribué eux aussi… ils auraient au moins pu avertir…
C’est peut-être un accident, ou peut-être volontaire, on ne sait pas.
@softjo
Ils auraient pu mais rien ne les y obligeait.
Si ce n'est pas maintenu (quoique visiblement le code est très court). Autant virer le support, il y a suffisamment de quoi faire dans le support de base : https://developer.android.com/guide/topics/media/media-formats
Open source... open bar quoi! 😁
Vu que leur composant open source donc vérifiable, pour un truc aussi bête que la compression/décompression de fichier audio, contient une faille, on comprend mieux toutes ces vulnérabilités sur iOS exploitées en douce par Cellebrite et consorts. Dommage qu'ils n'y ait pas de version Java pour les systèmes Android.
@ koko256
> un truc aussi bête que la compression/décompression de fichier audio
Un truc aussi bête que de dire que la compression/décompression d'un fichier audio c'est un truc bête, c'est... très bête.
@marc_os
N’empêche que pour quelqu’un qui n’y connaît rien comme moi, c’est assez étonnant que des failles puissent se situer la, et franchement fascinant que des gens les identifient et surtout parviennent à les exploiter !
effectivement vous vous y connaissez pas visiblement ...
@Bigdidou
« N’empêche que pour quelqu’un qui n’y connaît rien comme moi, c’est assez étonnant que des failles puissent se situer la, et franchement fascinant que des gens les identifient et surtout parviennent à les exploiter ! »
A une époque, j’avais un ami souffrant d’Asperger, capable de craquer n’importe protection informatique en moins d’une heure ! Il était stupéfiant. Un vrai Mozart, capable de trouver les failles d’un logiciel compilé d’un simple regard.
Mais socialement complètement à l’Ouest. A 25 ans il n’avait jamais mangé dans un restaurant chinois, alors qu’il en rêvait depuis sa jeunesse. Quand il m’a raconté ça, je l’ai traîné dans mon restaurant chinois préféré pour lui faire découvrir les rouleaux de printemps et le canard à l’ananas !