在高通和联发科芯片组中发现的三个漏洞最终在去年年底得到了修补，但在此之前，三分之二的Android手机面临着让攻击者访问媒体和音频对话的风险。高通和联发科均采用Apple无损音频编解码器(ALAC)，可对数字音乐流进行无损数据压缩。

就在十多年前，Apple将ALAC开源，允许在包括Android手机在内的非Apple设备上使用该格式。有几次更新，但自2011年以来一直没有修补。

以色列安全公司CheckPointResearch的研究人员发现，攻击者可以利用这些漏洞执行远程代码执行(RCE)攻击。CheckPoint在其博客中写道：“RCE漏洞的影响范围可以从恶意软件执行到攻击者控制用户的多媒体数据，包括来自受感染机器的摄像头的流媒体。”此外，没有特权的Android应用程序可以利用其漏洞来提升其访问媒体数据和用户对话的权限。

CheckPointResearch发现，高通和联发科将易受攻击的ALAC代码移植到他们的音频解码器中，据称全球一半以上的智能手机都在使用这些代码。CheckPoint指出，最新的IDC数据显示，在各州所有Android手机中，48.1%的领先份额配备了联发科芯片组，其中47%使用高通。

CheckPoint将收集到的信息传递给高通和联发科。后者将两个CommonVulnerabilitiesandExposures漏洞编号CVE-2021-0674和CVE-2021-0675“授予”联发科已修复并在2021年12月联发科安全公告中发布的ALAC漏洞。Qualcomm在2021年12月的Qualcomm安全公告中发布了CVE-2021-30351补丁。

安全研究员SlavaMakkaveev与NetanelBenSimon一起发现了这些漏洞，他说：“这些漏洞很容易被利用。威胁者可能会发送一首歌曲(媒体文件)，当潜在受害者播放时，它可能会在其中注入代码。特权媒体服务。威胁者可能已经看到了手机用户在手机上看到的内容。