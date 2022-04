Android-telefoner med chipset fra producenterne Qualcomm og Mediatek kan være ramt af et alvorligt sikkerhedshul, hvis ikke de er opdateret.

Det skriver sikkerhedsfirmaet Check Point Research i en pressemeddelelse.

Hvis du har opdateret din Android efter december 2021, er du ikke længere udsat. Foto: Shutterstock

Både Qualcomm og Mediatek lukkede hullet i en softwareopdatering, som blev frigivet i december sidste år, men man er altså fortsat under under risiko, hvis ikke man har opdateret sin Android-telefon siden.

Sikkerhedshullet har ikke tidligere været beskrevet i den brede offentlighed.

Stort omfang

Der er tale om et hul i producenternes chipset, som behandler det såkaldte lydformal ALAC (Apple Lossless Audio Codec).

ALAC blev oprindelig udviklet af Apple men blev i 2011 frigivet som open source. Herefter er det blevet taget i brug i mange programmer, som bruger lydafspilning heriblandt Linux, Windows media player og ikke mindst Android-baserede mobiltelefoner.

'Vi har at gøre med et meget alvorligt sikkerhedshul. Dels fordi omfanget er meget stort, når man tænker på, at de rammer to tredjedele af alle mobiltelefoner i verden. Men i høj grad desværre også, fordi det har vist sig skræmmende let for en hacker at få adgang til brugernes personlige videoer og billeder ved at udnytte dette sikkerhedshul', lyder det fra Niels Zimmer Poulsen, der er Head of Security Engineering hos Check Point Software Technologies i Danmark.

'Desuden har vores analytiker også opdaget, at det er muligt for cyberkriminelle at spionerer gennem kameraerne i brugernes telefoner, hvilket jo ikke er særlig betryggende'.

Check Point Research gjorde chipproducenterne opmærksomme på problemet sidste år, hvorefter de lukkede hullet. Foto: Shutterstock

Stjal kamera i test

Sikkerhedsforsker Slava Makkaveev beskriver overfor Techradar, hvordan hullet kunne udnyttes i praksis:

- En aktør kunne have sendt en sang (som en fil), og når et potentielt offer afspiller den, så kunne den lægge koden ind i medieafspilleren. Her kunne aktøren så se, hvad mobilbrugeren havde på deres telefon. I vores proof of concept var vi i stand til at stjæle telefonens kamera, siger Slava Makkaveev.