En Check Point Research han encontrado vulnerabilidades en el códec de audio sin pérdida de Apple (Lossless Audio Codec, ALAC) que ponen en peligro a la gran mayoría de la comunidad Android, según explican en su comunicado.
El ALAC es un formato de codificación de audio desarrollado por Apple y lanzado en 2004. Se utiliza para comprimir datos de música en formato digital. A finales de 2011, los de Cupertino hicieron que el códec fuera de código abierto y empezó a ser integrado en muchos dispositivos y programas de reproducción, como teléfonos móviles Android y reproductores y convertidores multimedia de Linux y Windows.
Desde 2011, Apple ha actualizado en varias ocasiones la versión propietaria del decodificador, corrigiendo y parcheando los problemas de seguridad, pero el código compartido no había sido parcheado desde 2011, según recoge la agencia de noticias Europa Press.
Los investigadores han puesto sobre la mesa que Qualcomm y MediaTek, las dos mayores fabricantes de chips de todo el mundo, han usado el código ALAC vulnerable en sus decodificadores de audio. Esta debilidad puede haber sido utilizada para la ejecución remota de código malicioso hasta en un 66% de los dispositivos móviles Android a lo largo y ancho de este mundo.
Los parches han sido publicados en los boletines de seguridad de ambas compañías
El sistema de ataque sería sencillísimo: "Un ciberdelincuente podría haber enviado una canción (archivo multimedia) y, si una víctima potencial la reprodujera, se inyecta un código malicioso en el servicio multimedia", explica el director técnico de Check Point Software para España y Portugal, Eusebio Nieva.
Check Point Research comunicó esta información a MediaTek y Qualcomm para asegurarse de que estas vulnerabilidades se resolvieran. De no haber sido parcheadas, se permitiría el acceso de forma remota tanto a las conversaciones de audio como a los archivos multimedia de los usuarios.
MediaTek asignó los parches CVE-2021-0674 y CVE-2021-0675 a los problemas de ALAC y las vulnerabilidades ya fueron corregidas y publicadas en el boletín de seguridad de MediaTek de diciembre de 2021. Qualcomm, por su parte, publicó el parche para CVE-2021-30351 en su boletín de seguridad de diciembre de 2021.