Faille dans la version open-source du format ALAC d'Apple : des millions de smartphones Android en danger

Mickaël Bazoge |

Apple est indirectement responsable d'une faille de sécurité qui touche des millions de smartphones Android. Les chercheurs en sécurité de Checkpoint ont en effet dégotté une vulnérabilité dans la version open-source du format d'encodage ALAC, créé par Apple en 2004 et disponible en version open-source depuis 2011.

Crédit : Denny Müller (Unsplash)

Si Apple met régulièrement à jour la version propriétaire du format ALAC dans ses logiciels et systèmes d'exploitation, le code open-source n'a pas fait l'objet d'un suivi aussi consciencieux. En fait, il n'a connu aucun correctif depuis… 2011. Et c'est un sérieux problème, puisqu'on trouve ces bibliothèques dans de nombreux appareils et applications d'autres plateformes que celles d'Apple.

Qualcomm et MediaTek, deux des plus importants fournisseurs de puces mobiles pour les smartphones Android, intègrent la version open-source de l'ALAC dans leurs décodeurs audio qui sont utilisés dans plus de la moitié des téléphones dans le monde. Cela concerne des terminaux sous Android 8.1, 9.0, 10.0 et 11.0.

Checkpoint a déterminé que des malandrins pouvaient exploiter une faille dans l'ALAC open-source pour lancer des attaques à distance sur des smartphones, grâce à un fichier audio malveillant. Les conséquences vont de l'installation de malwares à la prise de contrôle des données multimédia de l'appareil. Cela peut même aller jusqu'à l'écoute des conversations.

La faille de sécurité a été surnommée « ALHACK » par ses découvreurs. Mis au courant en amont comme le veut la règle, Qualcomm et MediaTek ont publié des correctifs en décembre dernier (CVE-2021-30351 chez le premier, CVE-2021-0674 et CVE-2021-0675 chez le second), que les constructeurs doivent maintenant diffuser au plus vite sur leurs appareils si ce n'est pas déjà fait. Checkpoint donnera tous les détails de cette vulnérabilité durant la conférence CanSecWest en mai.

Cette histoire démontre en tout cas qu'il ne suffit pas d'ouvrir le code à la communauté pour lui assurer une sécurité à toute épreuve. Si personne ne fait le boulot de le maintenir à jour, au bout d'un moment les vulnérabilités qui y étaient présentes finissent par apparaitre chez tous ceux qui s'en servent.


Source
Merci Vincent
Tags
avatar bibalox | 

« Alhack » : la personne qui a trouvé ce nom mérite qu’on lui attribue une médaille ou deux

avatar Lu Canneberges | 

@bibalox

Ahah oui !

avatar raoolito | 

@bibalox

je parie que c'est Michael !!

avatar Mac1978 | 

Comme quoi la vision que l’open source est forcément plus sécurisé que les systèmes propriétaires n’est pas automatique.

avatar TheDeepShadow | 

Forcément, si le logiciel n'est pas mis à jour depuis plus de 10 ans !

avatar raoolito | 

@TheDeepShadow

open source = tout le monde y a acces pour decortiquer. Un logiciel open-source utilisé à large echelle et dont personne ne se preocuppe deviendra en effet un soucis mais Apple n'est pas directement responsable, faudrait voir la licence mais je doute.

avatar frankm | 

@Mac1978

Oui c’est évident en fait.

avatar tupui | 

Rien depuis 2011 ?? C’est dingue ! Sur le projet open source que je maintient on a des bugs tous les jours alors que le truc existe depuis 20 ans. Je n’ose même pas imaginer l’état du machin…

avatar bozzo | 

Alhack Akback ?
Désolé j’ai pas pu me retenir…
C’est juste de un jeu de mots hein, pas chercher plus loin…
Bon d’accord, je sors…

avatar Patdic | 

@bozzo

😂😂😂

avatar valcapri | 

Je ne comprends pas pourquoi Android 12 ne serait pas touché à moins que les constructeurs aient été prévenus avant.

Et je ne comprends pas pourquoi une organisation/fondation n’a pas repris le code ALAC d’Apple en Open Source pour s’en occuper.

avatar Amaczing | 

@valcapri

"Je ne comprends pas pourquoi Android 12 ne serait pas touché à moins que les constructeurs aient été prévenus avant.
Et je ne comprends pas pourquoi une organisation/fondation n’a pas repris le code ALAC d’Apple en Open Source pour s’en occuper."

C’est dur de ne pas comprendre 💊

Toutes mes pleureuses 🤡

avatar radeon | 

Ce qui est fou c’est de commercialiser un produit dont un composant logiciel n’est pas maintenu depuis 10 ans, c’est se moquer du client.

avatar Silverscreen | 

@radeon

Ben justement, Apple ne le commercialise pas. C’est une version Opensource : n’importe quel contributeur peut apporter des correctifs. Ça veut surtout dire que la communauté Opensource s’en est complètement désinterressée jusque là.
Apple n’a pas bloqué les mises à jour (qui sont gérées par Android), la version n’a juste pas évolué entre 2011 et les failles récemment bouchées en urgence pas deux fabricants cités dans l’article.
Maintenant, Apple aurait évidemment pu contribuer et répercuter des ajouts qu’elle a fait à la version commerciale…

avatar radeon | 

@Silverscreen

Je ne parlais pas d’Apple mais des autres fabricants qui se sont servis sans contribuer

avatar marc_os | 

@ radeon

> Je ne parlais pas d’Apple mais des autres fabricants qui se sont servis sans contribuer

Et bien il me semble que ce soit la règle.
Dans ma boite aussi on utilise du code open-source pour éviter dans des domaines non stratégiques de réinventer la roue.
Et faire des économies.
On utilise, mais on ne contribue pas.
Mais on fait attention à bien utiliser les dernières mises à jour quand il y en a. (Ce qui peut poser d'autres problèmes, mais c'est un autre sujet.)

Récemment j'ai compilé un outil open-source pour l'un de nos services, et j'ai apporté de petites améliorations et corrigé quelques petits bogues. J'ai demandé à mon "directeur technique" si on pouvait officiellement contribuer au projet open-source, et bien il m'a répondu de le faire en mon nom propre !
Et bien c'est ce que je vais faire... Au moins j'en tirerai peut-être quelque chose à titre perso.

avatar radeon | 

@marc_os

Oui je suis d’accord avec toi, son attitude est déplorable, mon propos porte sur le fait de vendre un truc qui a de bonnes chances d’avoir des problèmes vu que personne n’y a touché depuis 10 ans, bugs, failles, incompatibilités …

Et je salue ton initiative d’apporter tes corrections à titre personnel.

avatar Phiphi | 

Hé ho la maintenance ce n’est pas magique non plus !
Si personne n’a constaté de problème depuis 2011 il n’y a aucune raison que qui que ce soit se sente obligé de faire des réparations.
On parle d’un décodeur audio ! Les utilisateurs peuvent écouter l’audio et n’entendent pas de la daube alors c’est que ça marche et tout le monde est content.
Alors les fautifs, on peut aussi bien dire que se sont les chercheurs qui n’ont pas trouvé ça pendant 11 ans. Tant qu’ils ne cherchaient pas, ils avaient moins de chance de trouver 🤷‍♂️
Ou alors s’ils ont mis 11 ans à trouver on peut espérer que la faille n’était pas évidente pour les malandrins non plus.
Ah et puis… les failles n’apparaissent pas avec le temps… elles sont découvertes après un certain temps !
De même que les bugs n’arrivent pas parce qu’un programme s’use quand on s’en sert. Ils SONT latents et un jour quelqu’un tombe dedans.

avatar Oracle | 

@Phiphi

Merci pour ce rappel de bon sens !

avatar r e m y | 

Si la faille n.existe pas dans la version qu'utilise Apple c'est bien qu'Apple a trouvé cette faille et l'a corrigée. Ils auraient pu avoir le bon goût de mettre à jour la version publiée en open source

avatar pacolapo | 

Tu n'en sais rien, peut etre qu'Apple, qui fait évoluer le format de son coté, à modifié son fonctionnement sur certains aspects qui bloquent directement cette faille sans qu'elle ait été détectée.

Peut etre que le fonctionnement d'iOS et ses sécurités bloquent cet accès également, donc ils ne sont probablement pas au courant de cette faille, lis le commentaire de Phiphi au dessus du tiens, un peu de réflexion avant de s'enflammer.

avatar Phiphi | 

@pacolapo

😂

😉

avatar Phiphi | 

@r e m y

T’en sais rien. Le code a pu diverger pour d’autres raisons, et puis le même code sur deux systèmes différents peut ne pas avoir le même résultat, vu que ce n’est même pas tout à fait les mêmes architectures processeur. Il y a nombre d’intermédiaire pour passer du code source au code processeur. Des compilateurs, interpréteurs, assembleurs (je ne sais pas comment on appelle ça de nos jours) différents peuvent donner des résultats différents.
De mon temps le même Cobol fonctionnait bien ou mal selon qu’on soit sur un unix ou un autre, sur du DPS7 ou du DPS8, qu’on tourne en MVS-CICS ou TDS-CICS, qu’on ait telle ou telle version du compilateur alors qu’ils étaient supposés compatibles.
C’est comme dans la vraie vie, il peut y avoir quarante-douze-huit façons d’arriver chez toi avec la bonne adresse en arrivant du même aéroport 🤷‍♂️

avatar heu | 

La faute à Apple, mdr. L’open source ça sert à être maintenu par la communauté, c’est la faute aux intégrateurs qui n’ont pas fait de contribution.

avatar softjo | 

@heu

Apple a potentiellement vu la faille, et décidé de laisser des millions de personnes vulnérables. Comme on parle de faille critique, ils auraient justement pu contribué eux aussi… ils auraient au moins pu avertir…

C’est peut-être un accident, ou peut-être volontaire, on ne sait pas.

avatar heu | 

@softjo

Ils auraient pu mais rien ne les y obligeait.

avatar lmouillart | 

Si ce n'est pas maintenu (quoique visiblement le code est très court). Autant virer le support, il y a suffisamment de quoi faire dans le support de base : https://developer.android.com/guide/topics/media/media-formats

avatar Alpy74CH | 

Open source... open bar quoi! 😁

avatar koko256 | 

Vu que leur composant open source donc vérifiable, pour un truc aussi bête que la compression/décompression de fichier audio, contient une faille, on comprend mieux toutes ces vulnérabilités sur iOS exploitées en douce par Cellebrite et consorts. Dommage qu'ils n'y ait pas de version Java pour les systèmes Android.

avatar marc_os | 

@ koko256

> un truc aussi bête que la compression/décompression de fichier audio

Un truc aussi bête que de dire que la compression/décompression d'un fichier audio c'est un truc bête, c'est... très bête.

avatar Bigdidou | 

@marc_os

N’empêche que pour quelqu’un qui n’y connaît rien comme moi, c’est assez étonnant que des failles puissent se situer la, et franchement fascinant que des gens les identifient et surtout parviennent à les exploiter !

avatar malcolmZ07 | 

effectivement vous vous y connaissez pas visiblement ...

avatar IceWizard | 

@Bigdidou

« N’empêche que pour quelqu’un qui n’y connaît rien comme moi, c’est assez étonnant que des failles puissent se situer la, et franchement fascinant que des gens les identifient et surtout parviennent à les exploiter ! »

A une époque, j’avais un ami souffrant d’Asperger, capable de craquer n’importe protection informatique en moins d’une heure ! Il était stupéfiant. Un vrai Mozart, capable de trouver les failles d’un logiciel compilé d’un simple regard.

Mais socialement complètement à l’Ouest. A 25 ans il n’avait jamais mangé dans un restaurant chinois, alors qu’il en rêvait depuis sa jeunesse. Quand il m’a raconté ça, je l’ai traîné dans mon restaurant chinois préféré pour lui faire découvrir les rouleaux de printemps et le canard à l’ananas !

CONNEXION UTILISATEUR