안드로이드 스마트폰에 내장된 오디오 코덱인 ALAC(Apple Lossless Audio Codec)에 취약성이 존재하고 2021년 출하된 스마트폰 거의 3분의 2에 원격으로 코드를 실행할 위험성이 있었던 게 분명해졌다. 현재 이 문제는 이미 수정됐다.
아이튠즈 등에서 이용되는 ALAC는 원래 애플이 개발한 오디오 코딩 포맷으로 2011년 오픈소스화됐다. 이후 ALAC는 안드로이드 스마트폰, 리눅스와 윈도 미디어 플레이어, 컨버터 등 애플 이외에도 많은 오디오 재생 장치와 프로그램에 내장되어 있다.
애플은 자체 버전 디코더를 여러 차례 업데이트하고 보안 문제를 해결하고 패치를 적용했지만 공유 코등에는 2011년 이후 패치가 적용되지 않았다. 이 패치가 적용되지 않은 취약한 ALAC 코드가 세계 최대 모바일 칩셋 제조사인 퀄컴과 미디어텍이 스마트폰 오디오 디코더에 이식된 것으로 나타났다.
사이버 보안 기업 체크포인트리서치(Check Point Research) 조사에 따르면 문제가 된 Check Point Research 코드에는 공격자가 부정한 형식 오디오 파일을 개입시켜 모바일 기기 상에서 원격 코드 실행 공격을 실시할 수 있는 취약성이 있었다고 한다. 이를 통해 공격자가 컴퓨터에서 원격으로 악성 코드를 실행해 카메라에 액세스할 수 있으며 권한이 없는 안드로이드 앱을 이용해 미디어 데이터와 사용자 대화에 접근할 가능성이 있었다고 한다.
미디어텍과 퀄컴 칩셋은 2021년 2분기 점유율 67%를 차지했으며 모두 취약점이 있었던 것으로 보인다. 체크포인트리서치는 이미 양사에 정보를 공개했다. 미디어텍은 2021년 12월 해당 취약점인 CVE-2021-0674와 CVE-2021-0675 수정 패치를 출시했다. 또 해당 취약점 CVE-2021-30351 수정 패치를 지난해 12월에 출시했다. 관련 내용은 이곳에서 확인할 수 있다.