苹果开源技术使数亿 Android 设备面临 RCE 风险

发布时间：2022-04-25 13:59 所属栏目：53 来源：互联网

导读：Apple Lossless Audio Codec(简称 ALAC)是苹果公司于 2004 年推出的无损音频编解码技术，苹果于 2011 年在 Apache-2.0 协议下开源了该技术。在尚未开源的时候，ALAC 主要用于苹果自己的 iPod、iPhone、Mac 等设备，如今开源后的 ALAC 已被许多厂商用于非苹果

Apple Lossless Audio Codec(简称 ALAC)是苹果公司于 2004 年推出的无损音频编解码技术，苹果于 2011 年在 Apache-2.0 协议下开源了该技术。在尚未开源的时候，ALAC 主要用于苹果自己的 iPod、iPhone、Mac 等设备，如今开源后的 ALAC 已被许多厂商用于非苹果设备上。

  根据市场研究机构在 2021 年 Q4 的调查，联发科和高通是目前市场占有率排名第一和第二的两家移动芯片制造商，两者的市场份额相加已超过 60%。正因如此，Check Point 预计 2021 销售的 Android 手机中，三分之二都受到该漏洞的影响(还不包括更老旧的 Android 型号)。

  而 IDC 在 2021 年统计的手机出货量数据显示，2021 年全球手机出货量为 13.5 亿部，排除掉苹果后仍有 11 亿部，粗略计算一下受影响的 Android 手机也超过 7 亿部(下图中的数量单位为 “百万”)。

  联发科与高通已于 2021 年 12 月发布补丁，修复了该漏洞(高通将该漏洞的严重性评为 9.8 分，满分 10 分)。据联发科称，漏洞影响了运行 Android 8.1、9.0、10.0 和 11.0 版本的设备中使用的数十款联发科芯片。

  熟悉 Android 的用户都知道，Android 的版本更新和安全修复存在严重的碎片化现象，Google 和芯片厂商无法直接推送这些更新内容，Android 手机的更新通常是交由各个厂商自己负责，一般情况下也只有 Google 自己的 Pixel 和三星等大厂近几年的产品才能获得更新。

  不过话又说回来，高通和联发科作为目前市场上的两大移动芯片厂商，可以说是人才济济，财力雄厚，但他们并未向所依赖的代码提供贡献，看起来似乎也没严格审查相关代码的安全性。

（编辑：ASP站长网）