Qualcomm e MediaTek hanno usato un codec ALAC buggato: milioni di dispositivi Android a rischio

I ricercatori di sicurezza di Check Point hanno individuato una vulnerabilità a carico di dispositivi equipaggiati con chipset di Qualcomm e MediaTek che avrebbe potuto consentire agli hacker di prendere il controllo di milioni di dispositivi Android.

Si tratta di una vulnerabilità presente nel formato ALAC - Apple Lossless Audio Codec, introdotto da Apple nel 2004 allo scopo di distribuire contenuti audio con qualità lossless. Apple ha aggiornato il decoder proprietario ALAC nel corso degli anni, mentre Qualcom e MediaTek hanno fatto uso di una versione open source che non è stata aggiornata dal 2011.

"I problemi di ALAC individuati dai nostri ricercatori potrebbero essere usati da un utente malintenzionato per condurre un attacco di esecuzione di codice remoto su un dispositivo mobile tramite un file audio non valido. Gli attacchi di esecuzione di codice remoto consentono ad un aggresore di eseguire in remoto codice dannoso su un dispositivo. L'impatto di una vulnerabilità di questo tipo può variare dall'esecuzione di malware all'ottenimento del controllo dei dati di un utente, incluso lo streaming della fotocamera di un dispositivo compromesso" spiegano i ricercatori.

Il codice ALAC afflitto dalla vulnerabilità poteva consentire di recuperare dati al di fuori dei limiti della memoria allocata, permettendo agli aggressori di sfruttare questo comportamento per costringere il decoder ad eseguire codice dannoso.

Secondo Check Point almeno due terzi di tutti gli smartphone venduti nel 2021 possono essere vulnerabili all'attacco, a meno che non abbiano ricevuto una patch. E, a tal proposito, sia Qualcomm, sia MediaTek hanno rilasciato le patch lo scorso anno a Google e ai produttori di dispositivi, che a loro volta le hanno rese disponibili agli utenti nel corso del mese di dicembre.

Coloro i quali desiderino sapere se il proprio dispositivo è ancora vulnerabile dovranno controllare le patch di sicurezza nelle impostazioni del sistema operativo. Se gli aggiornamenti risalgono a dicembre 2021 o successivi, il dispositivo è protetto. Tuttavia, come spesso accade in ambiente Android, non tutti i dispositivi ricevono le patch di sicurezza in maniera regolare.

La scoperta della vulnerabilità oltre ad aprire interrogativi sulla mancata prontezza di Qualcomm e MediaTek di mantenere aggiornati i decoder ALAC open-source, solleva anche il dubbio che altre librerie di codice open source potrebbero soffrire di problemi simili.

La vulnerabilità ALAC sarà presentata in maniera dettagliata da Check Point in occasione della conferenza CanSecWest in programma il prossimo mese a Vancouver.