Los investigadores de seguridad dijeron que descubrieron una vulnerabilidad que podría haber permitido a los hackers apoderarse de millones de dispositivos Android equipados con chipsets móviles hechos por Qualcomm y MediaTeck.
La vulnerabilidad residía en ALAC, abreviatura de Apple Lossless Audio Codec y también conocida como Apple Lossless, con un formato de audio introducido por Apple en 2004 para ofrecer audio sin pérdidas a través de Internet. Si bien Apple ha actualizado su versión patentada del decodificador para corregir las vulnerabilidades de seguridad a lo largo de los años, una versión abierta utilizada por Qualcomm y MediTek no han sido actualizados desde 2011.
Qualcomm y MediaTek, juntos, suministran un estimado del 95% de chipsets móviles para dispositivos Android en Estados Unidos.
Dispositivos de escucha remota
El código defectuoso ALAC contenía una vulnerabilidad fuera de los límites, lo que quiere decir que, recuperó datos alojados fuera de los límites de la memoria. Los hackers podrían aprovechar este error para decodificar y ejecutar códigos maliciosos que, de lo contrario, estaría fuera de los límites.
“Los errores de ALAC que encontraron nuestros investigadores podrían ser utilizados por un atacante para un ataque de ejecución de código remoto, (RCE) en un dispositivo móvil mediante un archivo de audio mal formado,” Check Point la firma de seguridad, aseguró este jueves que: “los ataques RCE permiten que un atacante ejecute códigos maliciosos remotos en una computadora. El impacto de una vulnerabilidad RCE puede varias desde la ejecución del malware hasta que un atacante obtenga los todos los datos multimedia de un usuario, incluyendo la transmisión desde la cámara de una máquina comprometida."
Check Point citó a un investigador quien sugirió que dos tercios de todos los smartphones vendidos en 2021 son vulnerables a los ataques, al menos que, hayan recibido un parche.
La vulnerabilidad de ALAC, rastreada como CVE-2021-30351 por Qualcomm, CVE-2021-0674 y CVE-2021-0675 por MediaTek, también pueden ser explotadas por una aplicación de Android sin privilegios para escalar sus privilegios de sistema a los datos multimedias y al micrófono del dispositivo, lo que plantea el espectro de la escucha de conversaciones cercanas y otros sonidos ambientales.
Los dos fabricantes de chipset enviaron los parches el año pasado a Google o a los fabricantes de dispositivos, que a su vez entregaron los parches a los usuarios que cumplían los requisitos en diciembre. Los usuarios de Android que quieran saber si su dispositivo está parcheado pueden comprobar el nivel de parche de seguridad en los ajustes del sistema operativo. Si el nivel de parche muestra una fecha de diciembre de 2021 o posterior, el dispositivo ya no es vulnerable. Sin embargo, muchos teléfonos siguen sin recibir parches de seguridad con regularidad, si es que los reciben, y los que tienen un nivel de parche anterior a diciembre de 2021 siguen siendo susceptibles.
La vulnerabilidad pone en tela de juicio la fiabilidad del código abierto que utilizan Qualcomm y MediaTek y sus métodos para mantener su seguridad. Si Apple puede actualizar su código propietario ALAC a lo largo de los años para corregir las vulnerabilidades, es desconcertante que los dos gigantes de los chips no hayan hecho lo mismo. La vulnerabilidad también plantea la pregunta de qué otras bibliotecas de código abierto utilizadas por los fabricantes de chips podrían estar igualmente desactualizadas.