MADRID, 22 Abr. (Portaltic/EP) -
Qualcomm y MediaTek han utilizado decodificadores de audio vulnerables que han puesto en riesgo la privacidad de dos terceras partes de los usuarios de dispositivos Android en todo el mundo.
Los investigadores de Check Point Research, firma dedicada a proporcionar inteligencia sobre ciberamenazas, han encontrado vulnerabilidades en el códec de audio sin pérdida de Apple (Lossless Audio Codec, ALAC) que ponen en peligro a la gran mayoría de la comunidad Android, según explican en su comunicado.
El ALAC es un formato de codificación de audio desarrollado por Apple y lanzado en 2004. Sirve para comprimir datos de música en formato digital. A finales de 2011, los de Cupertino hicieron que el códec fuera de código abierto y empezó a ser integrado en muchos dispositivos y programas de reproducción, como teléfonos móviles Android y reproductores y convertidores multimedia de Linux y Windows.
Desde 2011, Apple ha actualizado en varias ocasiones la versión propietaria del decodificador, corrigiendo y parcheando los problemas de seguridad, pero el código compartido no había sido parcheado desde 2011.
Los investigadores han descubierto que Qualcomm y MediaTek, las dos mayores fabricantes de chips de todo el mundo, han usado el código ALAC vulnerable en sus decodificadores de audio. Esta debilidad puede haber sido utilizada para la ejecución remota de código malicioso hasta en dos tercios de los dispositivos móviles Android a nivel mundial.
"Un ciberdelincuente podría haber enviado una canción (archivo multimedia) y, si una víctima potencial la reprodujera, se inyecta un código malicioso en el servicio multimedia", explica el director técnico de Check Point Software para España y Portugal, Eusebio Nieva.
Check Point Research comunicó esta información a MediaTek y Qualcomm para asegurarse de que estas vulnerabilidades se solucionaran. De no haber sido parcheadas, se permitiría el acceso remoto a las conversaciones de audio y los archivos multimedia de los usuarios.
MediaTek asignó los parches CVE-2021-0674 y CVE-2021-0675 a los problemas de ALAC y las vulnerabilidades ya fueron corregidas y publicadas en el boletín de seguridad de MediaTek de diciembre de 2021. Qualcomm, por su parte, publicó el parche para CVE-2021-30351 en su boletín de seguridad de diciembre de 2021.
