Una nueva investigación de seguridad de Check Point, apodado ALHACK, revela vulnerabilidades en el formato ALAC de los decodificadores de audio de los chips Qualcomm y MediaTek. Las vulnerabilidades podrían otorgar a los actores de amenazas acceso remoto a los medios y conversaciones de audio de los dispositivos afectados..
El formato de codificación de audio ALAC es utilizado por los dos grandes fabricantes de chipsets móviles en sus teléfonos móviles., y podría poner a millones de usuarios de Android en riesgo de exponer su privacidad, según el informe. Además, dos tercios de todos los teléfonos inteligentes vendidos en 2021 son vulnerables. Afortunadamente, ambos fabricantes reconocieron los problemas y lanzaron parches y correcciones en respuesta al descubrimiento.
El formato ALAC en chipsets Qualcomm y MediaTec es vulnerable
Ante todo, cual es el formato alac? El formato, también conocido como Apple Lossless, es un formato de codificación de audio desarrollado por Apple Inc.. Se introdujo por primera vez en 2004 para servir a los propósitos de la compresión de datos sin pérdida de música digital. Cabe señalar que Apple lo hizo de código abierto en 2011, y desde entonces, el formato se ha integrado en muchos dispositivos y programas de reproducción de audio que no son de Apple, como Android, Conversores y reproductores multimedia de Linux y Windows.
“Desde entonces, Apple ha estado actualizando la versión propietaria del decodificador varias veces., arreglar y parchear problemas de seguridad, pero el código compartido no ha sido parcheado desde 2011. Muchos proveedores externos utilizan el código proporcionado por Apple como base para sus propias implementaciones de ALAC., y es justo suponer que muchos de ellos no mantienen el código externo,Punto de control señaló.
Resulta que dos de los mayores fabricantes de chips móviles del mundo, Qualcomm y MediatEK, utilizó el código ALAC vulnerable en sus decodificadores de audio. Estos últimos están incluidos en más de la mitad de los smartphones vendidos en todo el mundo. “Según IDC, 48.1% de todos los teléfonos Android vendidos en los EE. UU. cuentan con la tecnología de MediaTek a partir del cuarto trimestre 2021, mientras que Qualcomm tiene actualmente 47% del mercado,”Dijeron los investigadores.
Las vulnerabilidades podrían permitir la ejecución remota de código
Check Point descubrió que las vulnerabilidades podrían usarse en rejecución de código de emoción (RCE) ataques en dispositivos móviles usando un archivo de audio malformado. Además, una aplicación de Android sin privilegios también podría usar las debilidades para escalar sus privilegios y obtener acceso a datos de medios y conversaciones de usuarios.
MediaTek asignó las vulnerabilidades CVE-2021-0674 y CVE-2021-0675 a los problemas de ALAC. “Las vulnerabilidades ya fueron corregidas y publicadas en diciembre 2021 Boletín de seguridad de MediaTek. Qualcomm lanzó el parche para CVE-2021-30351 en diciembre 2021 Boletín de seguridad de Qualcomm," el informe célebre.
Aquí hay un resumen de las vulnerabilidades de ALAC:
- CVE-2021-0674 con una puntuación CVSS de 5.5, afecta a los conjuntos de chips de MediaTek. Un caso de validación de entrada incorrecta en el decodificador ALAC podría conducir a la divulgación de información sin necesidad de interacción del usuario.
- CVE-2021-0675 tiene una puntuación CVSS de 7.8, y también se encuentra en MediaTek. Se ha descrito como un problema de escalada de privilegios locales en el decodificador ALAC que se origina en una escritura fuera de los límites..
- CVE-2021-30351 tiene una puntuación CVSS de 9.8, y afecta a Qualcomm. Es un problema de acceso a la memoria fuera de los límites causado por una validación incorrecta de la cantidad de fotogramas que se pasan durante la reproducción de música..
En 2020, investigadores de seguridad revelaron el llamado Vulnerabilidad de Achilles en conjuntos de chips de Qualcomm que afectó a los dispositivos Android. Más específicamente, Aquiles es una colección de más de 400 errores en los conjuntos de chips Qualcomm integrados. El núcleo de los problemas fue una interrupción en las funciones del procesador DSP que podría conducir a un manejo inadecuado de las funciones más importantes del dispositivo Android.: ejecución del proceso, carga y ejecución multimedia.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: