ALHACK: Millones de dispositivos Android vulnerables por un fallo en ALAC

Un códec de audio de código abierto desarrollado por Apple está afectado por graves vulnerabilidades que han sido introducidas en millones de dispositivos Android por algunos de los mayores fabricantes de chipsets para móviles del mundo.
El códec de audio sin pérdidas de Apple (ALAC) fue introducido por Apple en 2004 y, en 2011, el gigante tecnológico decidió convertirlo en código abierto. El código ALAC de código abierto ha sido recogido por muchos otros proveedores para dispositivos que no son de Apple.
Apple ha seguido mejorando la versión propietaria del códec, pero el código abierto nunca se ha actualizado en los últimos 11 años y parece que los proveedores de terceros que utilizan ese código no se han esforzado por garantizar su seguridad.
Los investigadores de la empresa de ciberseguridad Check Point descubrieron que el código ALAC de código abierto está afectado por graves vulnerabilidades, y que al menos dos de los principales fabricantes de chipsets para móviles, Qualcomm y MediaTek, lo han utilizado para sus descodificadores de audio.
Qualcomm y MediaTek tienen importantes cuotas de mercado y Check Point cree que millones de teléfonos inteligentes en todo el mundo se hicieron vulnerables a los ataques debido al uso del códec ALAC.
La empresa de seguridad estima que los fallos encontrados por sus investigadores -las vulnerabilidades han sido bautizadas como ALHACK- ponen en riesgo la privacidad de aproximadamente dos tercios de los usuarios de Android.
Las vulnerabilidades pueden activarse utilizando archivos de audio especialmente diseñados y pueden conducir a la ejecución remota de código.
“El impacto de una vulnerabilidad RCE puede ir desde la ejecución de malware hasta que un atacante obtenga el control de los datos multimedia de un usuario, incluyendo la transmisión de la cámara de un dispositivo comprometido”, explicó Check Point. “Además, una aplicación Android sin privilegios podría utilizar estas vulnerabilidades para escalar sus privilegios y obtener acceso a los datos multimedia y a las conversaciones del usuario”.
Las vulnerabilidades de MediaTek, parcheadas en diciembre de 2021, se identifican como CVE-2021-0675 y CVE-2021-0674 y se les ha asignado las calificaciones de gravedad “alta” y “media”. Qualcomm también publicó parches en diciembre de 2021. El fallo de Qualcomm se rastrea como CVE-2021-30351 y se le ha asignado una calificación de gravedad “crítica”.
Check Point tiene previsto revelar los detalles técnicos el próximo mes en la conferencia CanSecWest.
Mr. X

Compartir este artículo

¡Me gusta este artículo!

0

Artículos relacionados

    Deja un comentario

    ¡Gracias por dejar tu comentario!

    Entradas recientes