Falla de formato ALAC de fuente abierta de Apple: Millones de teléfonos inteligentes Android están en riesgo

Apple es indirectamente responsable de una vulnerabilidad que afecta a millones de teléfonos inteligentes Android. Los investigadores de seguridad en los puestos de control ya lo han hecho. yo descubrí Vulnerabilidad en una versión de código abierto del formato de cifrado ALAC, creado por Apple en 2004 y disponible como versión de código abierto Desde 2011.

crédito: denny muller (Unsplash)

Si bien Apple actualiza regularmente la versión del formato ALAC en su software y sistemas operativos, no se ha rastreado completamente el código fuente abierto. De hecho, no ha tenido un parche desde… 2011. Y esto es un problema grave, ya que estas bibliotecas se encuentran en muchos dispositivos y aplicaciones en plataformas distintas de Apple.

Qualcomm y MediaTek, dos de los mayores proveedores de chips móviles para teléfonos inteligentes Android, están incorporando la versión de código abierto de ALAC en sus decodificadores de audio, que se utilizan en más de la mitad de los teléfonos en todo el mundo. Esto es para dispositivos con Android 8.1, 9.0, 10.0 y 11.0.

Checkpoint ha determinado que los estafadores pueden explotar una vulnerabilidad en el ALAC de código abierto para lanzar ataques remotos en teléfonos inteligentes utilizando un archivo de audio malicioso. Las consecuencias van desde la instalación de malware hasta el control de los datos multimedia del dispositivo. Puede ir tan lejos como escuchar conversaciones.

Los buscadores de vulnerabilidades lo llamaron «ALHACK». Después del conocimiento previo como exige la regla, Qualcomm y MediaTek publicaron parches en diciembre pasado (CVE-2021-30351 en el primero, CVE-2021-0674 y CVE-2021-0675 en el segundo), los fabricantes ahora deberían transmitir lo antes posible. en su dispositivo si aún no lo ha hecho. Checkpoint proporcionará detalles completos de esta vulnerabilidad durante la conferencia CanSecWest en mayo.

READ  Viejo Samsung Galaxy Watch obligado a deshacerse de Android por Tizen

Esta historia muestra, sin embargo, que no basta con abrir el código a la comunidad para garantizar la seguridad. Si nadie ha hecho la tarea de actualizarlo, luego de un tiempo, las debilidades que había aparecen en todos los que lo usan.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.