Falhas de segurança em um codec de áudio foram descobertas por pesquisadores de segurança, colocando milhões de telefones Android e outros dispositivos Android equipados com chipsets da MediaTek e Qualcomm em risco de serem comprometidos por hackers. Decorrente de um codec criado pela Apple há vários anos, as vulnerabilidades não foram corrigidas desde que a empresa abriu o codec há 11 anos, para inclusão em dispositivos que não são da Apple. Ao aproveitar as falhas de segurança, um invasor pode acessar remotamente as conversas de mídia e áudio de um telefone Android, de acordo com os pesquisadores.
De acordo com um relatório de pesquisadores da Check Point Research, uma falha no Apple Lossless Audio Codec (ALAC) da Apple permite que um invasor execute um ataque de execução remota de código (RCE) em um smartphone alvo, depois de enviar um arquivo de áudio malformado. Um ataque RCE pode permitir que o invasor obtenha controle de multimídia no aparelho, incluindo streaming de vídeo das câmeras, acesso à mídia e conversas do usuário.
As falhas de segurança foram descobertas no codec ALAC da Apple, que foi de código aberto pela empresa em 2011 – permitindo que dispositivos que não sejam da Apple transmitam música em qualidade ‘sem perdas’ usando o codec anteriormente proprietário da Apple. No entanto, enquanto a Apple corrigiu a versão proprietária do codec ALAC, a versão de código aberto permaneceu sem correção, de acordo com os pesquisadores.
Como resultado, Qualcomm e MediaTek, fabricantes de chipsets que portaram o codec ALAC vulnerável para seus decodificadores de áudio, resultando em mais de dois terços de todos os smartphones vendidos em 2021 sendo vulneráveis às falhas de segurança, apelidadas de “ALHACK”, segundo os pesquisadores. As vulnerabilidades foram divulgadas com responsabilidade para a Qualcomm e a MediaTek, que reconheceram os problemas e atribuíram Vulnerabilidades e Exposições Comuns (CVE) para as falhas. A MediaTek atribuiu CVE-2021-0674 e CVE-2021-0675 (com classificações ‘Média’ e ‘Alta’, respectivamente), enquanto a Qualcomm atribuiu CVE-2021-30351 (com uma classificação ‘Crítica’ de 9,8 de 10) para o falhas do ALAC, antes de corrigi-las.
Segundo os pesquisadores, ambas as empresas emitiram patches para as falhas incluídas no boletim de segurança do Android de dezembro de 2021, o que significa que os usuários com smartphones que receberam os patches de segurança de dezembro devem estar protegidos das vulnerabilidades. No entanto, isso deixa de fora milhões de usuários que executam software desatualizado ou usuários que recebem atualizações de segurança irregulares, colocando-os em risco de serem comprometidos por invasores.
.
source – gadgets360.com
