Los analistas de seguridad descubrieron que los dispositivos Android que se ejecutan en chips Qualcomm y MediaTek eran vulnerables a la ejecución remota de código, debido a una falla en la implementación del Apple Lossless Audio Codec (ALAC).
ALAC es un formato de codificación para la compresión de audio sin pérdidas que Apple abrió en 2011. Desde entonces, la empresa ha lanzado actualizaciones del formato, incluidas correcciones de seguridad, pero no todos los proveedores externos que utilizan el códec aplican estas correcciones.
Según un informe de Check Point Research, esto incluye a Qualcomm y MediaTek, dos de los fabricantes de chips para teléfonos inteligentes más grandes del mundo.
Según los detalles disponibles, la vulnerabilidad permite que un atacante remoto ejecute código en un dispositivo de destino mediante el envío de un archivo de audio creado con fines malintencionados y engañando al usuario para que lo abra. Los investigadores llaman a este ataque “ALHACK”.
El impacto de los ataques de ejecución remota de código tiene implicaciones graves para Android, que van desde la violación de datos, la plantación y ejecución de malware, la modificación de la configuración del dispositivo, el acceso a componentes de hardware como el micrófono y la cámara, o la toma de control de la cuenta.
Las fallas de ALAC fueron corregidas por MediaTek y Qualcomm en diciembre de 2021, y se rastrean como CVE-2021-0674 (gravedad media con una puntuación de 5,5), CVE-2021-0675 (gravedad alta con una puntuación de 7,8) y CVE-2021- 30351 (gravedad crítica con una puntuación de 9,8).
El consejo de seguridad estándar también se aplica aquí: mantenga sus dispositivos actualizados, en este caso significa ejecutar el nivel de parche de Android de diciembre de 2021 o más reciente. Si el dispositivo ya no recibe actualizaciones de seguridad del proveedor, la opción válida es instalar una distribución de Android de terceros que aún proporcione parches de Android.
Escucha Dale Play en Spotify y Spreaker. Sigue el programa todos los lunes en nuestras plataformas de audio disponibles.
Contenido GEC