Мільйони пристроїв Android були вразливі для атаки з віддаленим виконанням коду через недоліки в аудіокодеку.
Дослідники Check Point виявили помилку в Apple Lossless Audio Codec (ALAC) – технології стиснення аудіо, яку Apple зробила загальнодоступною у 2011 році. Після цього ALAC був вбудований у пристрої Android та програми для відтворення звуку.
Проблема полягала в тому, що хоча Apple оновлювала та виправляла свою пропрієтарну версію ALAC, відкритий вихідний код кодека не оновлювався з 2011 року та містив критичний недолік, що дозволяє виконувати віддалене виконання коду. Зловмисник міг використати вразливість, відправивши жертві спотворений аудіофайл. Так він міг отримати віддалений доступ до медіафайлів та аудіорозмов.
Вразливість торкається пристроїв Android з чіпами від MediaTek і Qualcomm. За оцінками Check Point, дві третини смартфонів, проданих у 2021 році, уразливі.