Pesquisadores de segurança descobriram uma falha em um formato de codificação de áudio que poderia ter sido explorado para ajudar hackers a atacar remotamente Telemovel Android simplesmente enviando um arquivo de áudio malicioso.
A falha envolveu o Apple Lossless Audio Codec (ALAC), de acordo com a empresa de segurança Check Point, que descobriu o problema no ano passado. O codec é de código aberto e amplamente utilizado em dispositivos não iPhone, incluindo smartphones Android.
Há anos, a Apple atualiza a versão proprietária do ALAC, mas a versão de código aberto não é corrigida desde 2011, de acordo com a Check Point. Isso levou a empresa de segurança a descobrir uma vulnerabilidade séria na maneira como algumas grandes empresas estavam implementando o ALAC.
“A Check Point Research descobriu que a Qualcomm e a MediaTek, duas das maiores fabricantes de chipsets móveis do mundo, transferiram o código ALAC vulnerável para seus decodificadores de áudio, que são usados em mais da metade de todos os smartphones em todo o mundo”, disse a empresa de segurança. escrevi em uma postagem de blog.
boletins de segurança de Qualcomm S MediaTek Eles indicam que a falha afetou dezenas de chipsets de ambas as empresas, incluindo o Snapdragon 888 e 865, o que significa que milhões de smartphones Android foram afetados.
A vulnerabilidade pode ajudar um invasor a executar remotamente código de computador em um telemovel Android enviando um arquivo de áudio criado com códigos maliciosos, capaz de acionar a falha do ALAC. A partir daí, o hacker pode tentar instalar malware adicional no dispositivo ou tentar acessar a câmera.
Os aplicativos móveis existentes também podem explorar a falha para obter acesso à pasta de mídia de um smartphone Android afetado sem pedir permissão ao usuário, de acordo com a Check Point.
A boa notícia é que a Qualcomm e a MediaTek corrigiram a falha em dezembro, depois que o problema foi relatado pela primeira vez. A Check Point também não encontrou evidências de que hackers exploraram a vulnerabilidade.
Para se certificar de que está protegido, deve verificar se o seu telemovel recebeu a segurança Android “2021-12-05” ou posterior correção. Isso geralmente pode ser feito acessando o painel Configurações do telemovel e, em seguida, acessando “Sobre o telemovel” e verificando a versão do Android.
A falha que afeta os dispositivos Qualcomm foi nomeada CVE-2021-30351. Enquanto isso, a MediaTek atribuiu CVE-2021-0674 e CVE-2021-0675 como as designações oficiais para a vulnerabilidade. A Check Point planeja revelar mais detalhes sobre o bug do software na conferência CanSecWest, agendada para 18 a 20 de maio.
Em um comunicado, a Qualcomm disse: “Parabenizamos os pesquisadores de segurança da Check Point Technologies por usar práticas de divulgação coordenada padrão do setor. Com relação ao problema do decodificador de áudio ALAC que eles divulgaram, a Qualcomm Technologies disponibilizou patches aos fabricantes de dispositivos em outubro de 2021. Incentivamos os usuários que estão terminando a atualizar seus dispositivos à medida que as atualizações de segurança estiverem disponíveis.”
