Los analistas de seguridad descubrieron que los dispositivos Android que se ejecutan en conjuntos de chips Qualcomm y MediaTek eran vulnerables a la ejecución remota de código debido a una falla en la implementación de Apple Lossless Audio Codec (ALAC).
Para poneros un poco en situación, ALAC es un formato de codificación de audio para la compresión de audio sin pérdidas que Apple abrió en 2011 y desde entonces, los Cupertinos han estado lanzado actualizaciones del formato, incluyendo correcciones de seguridad, pero no para todos los proveedores externos que hacen uso del códec.
El error en el códec ALAC podría permitir a los atacantes acceder a los archivos multimedia de los usuarios
Vía Check Point Research, esto incluye a los proveedores como Qualcomm y MediaTek, que son dos de los fabricantes de chips para teléfonos inteligentes más grandes del mundo. No obstante, los analistas de seguridad aún no han proporcionado muchos detalles sobre la explotación real de las fallas, pero prometieron hacerlo en el próximo evento CanSecWest que se realizará en mayo de 2022.
Los detalles disponibles indican que la vulnerabilidad permite que un atacante pueda ejecutar código remoto en un dispositivo de destino mediante el envío de un archivo de audio creado con fines malintencionados y engañando al usuario para que lo abra. Los investigadores han denominado a este ataque como «ALHACK«.
Cabe mencionar que el impacto de los ataques de ejecución código de forma remota tienen implicaciones graves, que van desde la violación de datos, la plantación y ejecución de malware, la modificación de la configuración del dispositivo, el acceso a componentes de hardware como el micrófono y la cámara, o la toma de control de la cuenta.
En el análisis de los investigadores, se puede leer que la implementación del decodificador ALAC de Qualcomm y MediaTek sufren posibles lecturas y escrituras fuera de los límites, y una validación incorrecta de los cuadros de audio pasados durante la reproducción de música.
Y entre las posibles consecuencias incluyen la divulgación de información y la elevación de privilegios sin que se requiera la interacción del usuario.
Por el momento, solo Qualcomm se ha pronunciado al problema y ha indicado lo siguiente:
Proporcionar tecnologías que respalden una sólida seguridad y privacidad es una prioridad para Qualcomm Technologies. Felicitamos a los investigadores de seguridad de Check Point Technologies por utilizar prácticas de divulgación coordinada estándar de la industria. Con respecto al problema del decodificador de audio ALAC que revelaron, Qualcomm Technologies puso parches a disposición de los fabricantes de dispositivos en octubre de 2021. Alentamos a los usuarios finales a actualizar sus dispositivos a medida que haya actualizaciones de seguridad disponibles.
Las correcciones de fallas de ejecución de código de forma remota en unidades de procesamiento de audio de código cerrado están presentes en casi todas las actualizaciones de seguridad que se lanzan mensualmente en los dispositivos Android, sin embargo, explotarlos rara vez tienen «interés» y los proveedores de los componentes brindan pocos detalles técnicos para reducir el riesgo de explotación.
Cómo mantenerse a salvo
El consejo de seguridad estándar también se aplica aquí: mantenga sus dispositivos actualizados, en este caso significa ejecutar el nivel de parche de Android «Diciembre de 2021» o posterior.
Si el dispositivo ya no recibe actualizaciones de seguridad del proveedor, la opción válida es instalar una distribución de Android de terceros que aún proporcione parches de Android.
Por último pero no menos importante es que cuando reciba archivos de audio de fuentes/usuarios desconocidos o sospechosos, es mejor no abrirlos ya que podrían desencadenar la vulnerabilidad.
