Millones de dispositivos Android fueron vulnerables a un ataque de ejecución remota de código debido a fallas en un códec de audio que Apple abrió hace años pero que no ha sido parcheado desde entonces.
Los investigadores de Check Point descubrieron un error en Apple Lossless Audio Codec (ALAC), que es una tecnología de compresión de audio que Apple abrió en 2011. Después de esto, ALAC se integró en dispositivos y programas Android para reproducción de audio.
El problema, como señalan los investigadores de Check Point, es que si bien Apple actualizó y parcheó su versión patentada de ALAC, el código fuente abierto de ALAC no se ha actualizado desde 2011 y contiene una falla crítica que permite la ejecución remota de código.
VER: Google: estamos detectando más errores de día cero que nunca. Pero los hackers todavía lo tienen demasiado fácil
Un atacante remoto puede aprovechar la falla enviando al objetivo un archivo de audio con formato incorrecto, lo que le permite ejecutar malware en un dispositivo Android.
La falla “podría haber llevado a un atacante a obtener acceso remoto a sus medios y conversaciones de audio”, dijeron los investigadores.
Los errores afectan a los dispositivos Android con chips de MediaTek y Qualcomm, que han confirmado los fallos. Qualcomm solucionó el error, identificado como CVE-2021-30351, en su actualización de seguridad de diciembre. MediaTek también abordó los problemas de ALAC, rastreados como CVE-2021-0674 y CVE-2021-0675, en su actualización de seguridad de diciembre.
Qualcomm otorgó a CVE-2021-30351 una calificación de “crítico” con una puntuación de gravedad de 9,8 sobre 10 posibles.
“Puede producirse un acceso a la memoria fuera de límites debido a una validación inadecuada del número de fotogramas que se pasan durante la reproducción de música”, afirma Qualcomm en su aviso.
MediaTek calificó CVE-2021-0675 como un error de elevación de privilegios de gravedad “alta” debido a una “restricción inadecuada de operaciones dentro de los límites de un búfer de memoria en el decodificador alac”. Afecta a docenas de chips MediaTek utilizados en dispositivos que ejecutan las versiones de Android 8.1, 9.0, 10.0 y 11.0, según MediaTek.
“En el decodificador alac, existe una posible escritura fuera de límites debido a una verificación de límites incorrecta. Esto podría llevar a una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales. No se necesita la interacción del usuario para la explotación”, señala.
MediaTek dice que CVE-2021-0674 tiene una clasificación de gravedad “media” que “podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales”. Nuevamente, la interacción del usuario no es necesaria para la explotación.
La cantidad de dispositivos Android que son vulnerables depende de cuántas personas hayan instalado actualizaciones de firmware en las que se corrijan las fallas. Pero los dos fabricantes de chips son los mayores proveedores de sistemas de chips utilizados en dispositivos Android vendidos en Estados Unidos y en todo el mundo.
Check Point estima que dos tercios de todos los teléfonos inteligentes vendidos en 2021 son vulnerables a lo que llama “ALHACK”.
Google lanzó un parche para el error de Qualcomm y el CVE-2021-0675 de MediaTek en su actualización de diciembre de 2021. Sin embargo, todavía depende de cada fabricante de teléfonos Android implementar parches a su propio ritmo.
Check Point planea revelar más detalles sobre las fallas en la conferencia de seguridad CanSecWest el próximo mes.