Un error crítico podría haber permitido a los piratas informáticos apoderarse de millones de dispositivos Android

Un error crítico podría haber permitido a los piratas informáticos apoderarse de millones de dispositivos Android

imágenes falsas

Los investigadores de seguridad dijeron que habían descubierto una vulnerabilidad que podría haber permitido a los piratas informáticos apoderarse de millones de dispositivos Android equipados con conjuntos de chips móviles de Qualcomm y MediaTek.

La vulnerabilidad residía en ALAC, abreviatura de Apple Lossless Audio Codec y también conocido como Apple Lossless, un formato de audio introducido por Apple en 2004 para ofrecer audio sin pérdidas a través de Internet. Si bien Apple ha actualizado su propia versión del decodificador a lo largo de los años para abordar las vulnerabilidades de seguridad, una versión de código abierto utilizada por Qualcomm y MediaTek no se ha actualizado desde 2011.

Juntos, Qualcomm y MediaTek suministran conjuntos de chips móviles para aproximadamente el 95 por ciento de los dispositivos Android de EE. UU.

Dispositivo de escucha remota

El código ALAC con errores contenía una vulnerabilidad fuera de los límites, lo que significa que recuperó datos fuera de los límites de la memoria asignada. Los piratas informáticos podrían explotar esta falla para obligar al decodificador a ejecutar código malicioso que de otro modo estaría fuera de los límites.

“Las vulnerabilidades de ALAC que encontraron nuestros investigadores podrían ser utilizadas por un atacante para realizar un ataque de ejecución remota de código (RCE) en un dispositivo móvil a través de un archivo de audio mal formado”, dijo el jueves la firma de seguridad Check Point. “Los ataques RCE permiten a un atacante ejecutar de forma remota un código malicioso en una computadora. El impacto de una vulnerabilidad RCE puede variar desde la ejecución de malware hasta que un atacante tome el control de los datos multimedia de un usuario, incluida la transmisión desde la cámara de una máquina comprometida.

Check Point citó a un investigador que sugirió que dos tercios de todos los teléfonos inteligentes vendidos en 2021 serán vulnerables al ataque a menos que reciban un parche.

La vulnerabilidad ALAC, rastreada como CVE-2021-30351 por Qualcomm y CVE-2021-0674 y CVE-2021-0675 por MediaTek, también puede ser explotada por una aplicación de Android no autorizada para escalar los permisos de su sistema a los datos multimedia y al micrófono del dispositivo, aumenta el espectro de escuchas de conversaciones cercanas y otros ruidos ambientales.

Los dos fabricantes de conjuntos de chips enviaron parches a Google oa los fabricantes de dispositivos el año pasado, quienes a su vez entregaron los parches a los usuarios elegibles en diciembre. Los usuarios de Android que deseen saber si su dispositivo está parcheado pueden verificar el nivel del parche de seguridad en la configuración del sistema operativo. Si el nivel del parche especifica una fecha de diciembre de 2021 o posterior, el dispositivo ya no es vulnerable. Pero muchos teléfonos aún no reciben parches de seguridad regulares, si es que los reciben, y aquellos con un nivel de parche anterior a diciembre de 2021 siguen siendo susceptibles.

La vulnerabilidad pone en duda la confiabilidad del código fuente abierto utilizado por Qualcomm y MediaTek y sus métodos para mantener su seguridad. Si Apple puede actualizar su propia base de código ALAC a lo largo de los años para corregir las vulnerabilidades, es preocupante que los dos gigantes de los conjuntos de chips no hayan seguido su ejemplo. La vulnerabilidad también plantea la cuestión de qué otras bibliotecas de código fuente abierto utilizadas por los fabricantes de chips podrían ser igualmente obsoletas.

En un comunicado, los funcionarios de Qualcomm escribieron:

Proporcionar tecnologías que respalden una sólida seguridad y privacidad es una prioridad para Qualcomm Technologies. Felicitamos a los investigadores de seguridad de Check Point Technologies por utilizar prácticas de divulgación coordinada estándar de la industria. Con respecto al problema del decodificador de audio ALAC que revelaron, Qualcomm Technologies puso parches a disposición de los fabricantes de dispositivos en octubre de 2021. Alentamos a los usuarios finales a actualizar sus dispositivos tan pronto como haya actualizaciones de seguridad disponibles.

MediaTek no respondió de inmediato a un mensaje.

Check Point dijo que proporcionará detalles técnicos de la vulnerabilidad en la conferencia CanSecWest en Vancouver el próximo mes.

Leave a Comment