A Check Point Research (CPR) identificou vulnerabilidades nos descodificadores de áudio utilizados pela Qualcomm e MediaTek, duas das maiores fabricantes de chips do mundo. Se não fossem corrigidas, as falhas de segurança permitiriam a um atacante aceder remotamente a ficheiros multimédia e conversações via áudio.
A CPR estima que mais de dois terços dos telemóveis de todo o mundo estiveram vulneráveis, em algum momento. Segundo a investigação, o código vulnerável tem por base o partilhado pela Apple, há 11 anos.
Vulnerabilidades
As vulnerabilidades foram identificadas, concretamente, no Apple Lossless Audio Codec (ALAC), também conhecido por Apple Lossless. O ALAC é um formato de codificação de áudio desenvolvido pela Apple e apresentado, pela primeira vez, em 2004, para compressão de informação áudio digital sem perdas.
Em 2011, a Apple colocou o software em código aberto e o formato ALAC foi incorporado em muitos dispositivos e programas de reprodução áudio não Apple, incluindo smartphones Android, bem como leitores e conversores media Windows e Linux.
Desde então, a Apple tem vindo a atualizar várias vezes a versão proprietária do descodificador, corrigindo as falhas de segurança existentes. Contudo, o código partilhado não é corrigido desde 2011. A CPR descobriu que a Qualcomm e a MediaTek utilizavam nos seus descodificadores de áudio código ALAC vulnerável.
A CPR partilhou a informação recolhida, trabalhando de perto com ambos os fornecedores no sentido de corrigir estas vulnerabilidades. “Descobrimos um conjunto de vulnerabilidades que poderiam ser utilizadas para execução remota e concessão de privilégios em dois terços dos dispositivos móveis de todo o mundo. E as vulnerabilidades eram de fácil exploração. Um cibercriminoso poderia enviar uma música (qualquer ficheiro multimédia) e, assim, que reproduzida pela potencial vítima, poderia ser injetado código malicioso no serviço de reprodução. O cibercriminoso poderia ver o que o utilizador via”, começa por dizer Slava Makkaveev, Reverse Engineering & Security Research at Check Point Research.
Para proteção dos utilizadores, a CPR recomenda a atualização regular de sistemas operativos, uma vez que, todos os meses, a Google lança atualizações de segurança.