in

Falhas de seguranças em dois dos maiores fabricantes de chips do mundo colocam em risco dois terços de todos os utilizadores Android

Foto Shuttesrtock

A Check Point Research (CPR) identificou vulnerabilidades nos descodificadores de áudio utilizados pela Qualcomm e MediaTek, duas das maiores fabricantes de chips do mundo. Se não fossem corrigidas, as falhas de segurança permitiriam a um atacante aceder remotamente a ficheiros multimédia e conversações via áudio.

A CPR estima que mais de dois terços dos telemóveis de todo o mundo estiveram vulneráveis, em algum momento. Segundo a investigação, o código vulnerável tem por base o partilhado pela Apple, há 11 anos.

 

Vulnerabilidades

As vulnerabilidades foram identificadas, concretamente, no Apple Lossless Audio Codec (ALAC), também conhecido por Apple Lossless. O ALAC é um formato de codificação de áudio desenvolvido pela Apple e apresentado, pela primeira vez, em 2004, para compressão de informação áudio digital sem perdas.

Em 2011, a Apple colocou o software em código aberto e o formato ALAC foi incorporado em muitos dispositivos e programas de reprodução áudio não Apple, incluindo smartphones Android, bem como leitores e conversores media Windows e Linux.

Desde então, a Apple tem vindo a atualizar várias vezes a versão proprietária do descodificador, corrigindo as falhas de segurança existentes. Contudo, o código partilhado não é corrigido desde 2011. A CPR descobriu que a Qualcomm e a MediaTek utilizavam nos seus descodificadores de áudio código ALAC vulnerável.

A CPR partilhou a informação recolhida, trabalhando de perto com ambos os fornecedores no sentido de corrigir estas vulnerabilidades. “Descobrimos um conjunto de vulnerabilidades que poderiam ser utilizadas para execução remota e concessão de privilégios em dois terços dos dispositivos móveis de todo o mundo. E as vulnerabilidades eram de fácil exploração. Um cibercriminoso poderia enviar uma música (qualquer ficheiro multimédia) e, assim, que reproduzida pela potencial vítima, poderia ser injetado código malicioso no serviço de reprodução. O cibercriminoso poderia ver o que o utilizador via”, começa por dizer Slava Makkaveev, Reverse Engineering & Security Research at Check Point Research.

Para proteção dos utilizadores, a CPR recomenda a atualização regular de sistemas operativos, uma vez que, todos os meses, a Google lança atualizações de segurança.

Dinamarca

Dinamarca será o primeiro país do mundo a desenvolver um rótulo climático para a alimentação

P&G

P&G sofre impacto de mais de 2,3 mil milhões de euros do aumento dos custos das matérias-primas