前两天|高通和联发科都在用的音乐编码格式

前两天 , 世超看到一条新闻 。
事儿说大也不大 , 总的来说就是你的安卓手机 , 可能成了一个远程窃听器 。
只要一首歌的功夫 , 黑客就能黑掉一台安卓手机 。
前两天|高通和联发科都在用的音乐编码格式
文章图片
你刚按下播放键 , 对方就已经获得了你的摄像头和麦克风权限 。
不仅能窃听你的通话内容 , 甚至连你周围的声音都能监听到 。。
这事波及范围还不小 , 目前全球可能有37%的手机 , 都暴露在这样的危险之下 。
是不是突然有点不敢呼吸了 , 先别慌 , 听世超来解释一下到底发生了啥 。
前两天|高通和联发科都在用的音乐编码格式
文章图片
前两天 , 一家以色列的IT公司CHECKPOINT , 发现高通和联发科都在使用的一种开源音乐编码格式 , 存在一个高危漏洞 。
前两天|高通和联发科都在用的音乐编码格式
文章图片
这个漏洞可怕的地方在于 , 黑客可以通过一段错误格式的音频 , 实现远程代码执行(RCE) 。
啥是远程代码执行 , 咱先不管 。
问题是依靠这个漏洞 , 黑客可以在你手机里横行霸道 。 不光可以做到开头说的强制获取权限 , 还可以执行恶意软件或窃取数据 。
而这件事真正魔幻的地方在于 , 倒大霉的安卓这回可能是被苹果坑了 。。
因为高通和联发科都在用的这个音乐编码格式 , 其实是来自苹果 。
一切的纠葛 , 咱还得从11年前的那天说起 。
一向喜欢关起门来搞建设的果子哥 , 在听歌方面也没有例外 。
2004年的时候 , 苹果弄了一个无损音乐编码格式AppleLossless , 又叫做AppleLosslessAudioCodec(下面简称ALAC) , 只允许自家的设备使用 。
前两天|高通和联发科都在用的音乐编码格式
文章图片
别看它名字又臭又长 , 其实就是一种音频格式 , 类似于我们最熟悉的MP3 。
只不过 , MP3是有损压缩 , 而ALAC是无损压缩 , 缩小文件大小的同时 , 还能保证音质 。 目前使用比较广泛的无损格式就FLAC和ALAC 。
本来如果一直封闭在苹果生态里 , 就没安卓这茬子事了 。
前两天|高通和联发科都在用的音乐编码格式】问题是 , 2011年的时候 , 为了普适性(谁能想到 , 有一天果子哥也会考虑普适性问题) , 果子哥破天荒在GitHub上面开放了源代码 , 出了一个开源版ALAC 。
正是这次慷慨开源 , 很多非苹果的设备和播放器 , 都美美用上了无损格式 , 其中也包括Windows播放器 。
而这次的主人公高通和联发科 , 更是直接将开源版ALAC代码移植到了自己的音频解码器里 。
前两天|高通和联发科都在用的音乐编码格式
文章图片
然后 , 扯淡的事情就出现了 。。
我们知道ALAC有两个版本 。 苹果自己使用的专利版 , 苹果一直在不断更新维护 。 类似的漏洞 , 苹果早就修复了 。
而提供给其他厂商的开源版 , 这11年来 , 苹果作为开发者从来没有维护更新过它 。
更扯的是 , 不光苹果懒得去管这个东西 , 高通和联发科也都坚定地奉行“拿来主义” , 只拿不修 。
世超盲猜高通它们可能心里在想:
“谁要帮苹果维护啊 , 拿来直接用得了 。 ”
ALAC的开源协议为Apache ,
所有使用者都可以对项目进行更改▼
前两天|高通和联发科都在用的音乐编码格式
文章图片
所以 , 高通和联发科都在使用一套11年来从没有更新过的代码 。