Se cree que un códec de audio de código abierto utilizado por empresas de chipset ha puesto en riesgo dos tercios de las llamadas y archivos privados de los usuarios de Android. Los fallos de Qualcomm y Mediatek dejaron en riesgo a millones de usuarios de Android.
Se descubrió que Qualcomm y MediaTek, dos de los fabricantes de chips más grandes del mundo, utilizaron tecnología vulnerable en los teléfonos inteligentes. Esto podría haber llevado a violaciones de la privacidad de los usuarios de Android.
Check Point Research (CPR) descubrió una serie de vulnerabilidades en Apple Lossless Audio Codec (ALAC). Se trata de un componente responsable de comprimir datos de audio, que podría haber provocado que los atacantes cibernéticos accedieran a las llamadas de los usuarios y a las imágenes almacenadas.
Los fallos de Qualcomm y Mediatek dejaron en riesgo a millones de usuarios de Android
Los investigadores creen que más de dos tercios de los teléfonos inteligentes Android del mundo fueron vulnerables a los ataques en algún momento.
Las vulnerabilidades se encontraron en el código ALAC que Apple hizo de código abierto en 2011. Desde entonces, el ALAC se ha instalado en una amplia variedad de dispositivos y programas de reproducción de audio que no son de Apple. No solo en los teléfonos inteligentes Android, dijo CPR.
Apple ha actualizado el código hasta que se convirtió en código abierto. Sin embargo el código en cuestión no se había actualizado desde 2011. Tanto Qualcomm como MediaTek transfirieron el código ALAC vulnerable a sus decodificadores de audio.
Los atacantes podrían haber utilizado las vulnerabilidades para realizar un ataque de ejecución remota de código (RCE) en los teléfonos inteligentes enviando a las víctimas un archivo de audio con formato incorrecto. Esto es lo que dijeron los investigadores. Sin embargo no revelarán todos los detalles de cómo se pueden explotar las vulnerabilidades hasta que se presenten en CanSecWest.
MediaTek rastrea ambas vulnerabilidades como CVE-2021-0674 y CVE-2021-0675, con una puntuación de 5,5 y 7,8 sobre diez en la escala de gravedad de amenazas CVSSv3. La empresa las corrigió en diciembre de 2021.
Qualcomm rastrea la vulnerabilidad de seguridad como CVE-2021-30351. Tiene una puntuación de 9,8, una calificación crítica, y afectó a una veintena de productos Snapdragon. Qualcomm solucionó el problema en diciembre de 2021 y CPR esperó hasta esta semana para publicar los detalles y dar tiempo a los usuarios para aplicar el parche.
CPR recomienda que todos los usuarios de Android actualicen regularmente sus teléfonos con la última versión que Google emite mensualmente.