Apple har uppdaterat den patentskyddade versionen av dekodern flera gånger och korrigerat säkerhetsproblem, men den delade koden har däremot inte korrigerats sedan 2011. CPR upptäckte att Qualcomm och MediaTek skrev om den sårbara ALAC-koden till sina ljudavkodare.
Check Point Research meddelade MediaTek och Qualcomm om upptäckterna och arbetade i nära samarbete med båda leverantörerna för att åtgärda bristerna.
– Vi har upptäckt en uppsättning av sårbarheter som kan användas för fjärråtkomst och utnyttja privilegier på två tredjedelar av världens mobila enheter. Sårbarheterna var lätta att utnyttja och en hackare kunde skicka en låt eller mediefil till ett potentiellt offer som spelar upp filen vilket leder till att den kan sprida kod i medietjänsten som används. Hackaren kunde komma åt telefonen och stjäla telefonens kameraström. Många skulle nog säga att mediefiler tillhör den mest känsliga informationen på sin telefon, och hackarna kunde komma åt detta genom dessa sårbarheter, säger Mats Ekdahl, säkerhetsexpert hos Check Point Software Technologies.