Vulnerabilità scoperta nel codec Apple utilizzato dagli smartphone Android
Questo è il codec ALAC (Apple Lossless Audio Codec, noto anche come Apple Lossless o Apple Lossless Encoder) sviluppato da Apple nel 2004. Nel 2011, il software è passato a un modello open source ed è ampiamente utilizzato negli smartphone Android, compresi i modelli con MediaTek e i chip Qualcomm, che coprono circa i 2/3 del mercato. Il problema è che non è stato risolto dal 2011.
I ricercatori di Check Point Research hanno scoperto una vulnerabilità nel codec ALAC che consente l’esecuzione di codice in remoto su un dispositivo vulnerabile, un metodo che ha consentito a un utente malintenzionato di acquisire le funzioni multimediali di uno smartphone (inclusa la lettura di registrazioni e la trasmissione di immagini da una fotocamera).
Tuttavia, i problemi non finiscono qui! Si scopre che la vulnerabilità ha consentito alle applicazioni di elevare i propri diritti e ottenere l’accesso ai file multimediali e alle conversazioni degli utenti.
Per ora, vale la pena assicurare a tutti che la violazione della sicurezza non rappresenta più una minaccia per gli utenti di smartphone. Check Point Research ha fornito informazioni sulla vulnerabilità di MediaTek e Qualcomm, che hanno rilasciato le patch pertinenti e pubblicato le informazioni pertinenti nei bollettini sulla sicurezza (CVE-2021-0674 e CVE-2021-0675 per MediaTek e CVE-2021-30351 per Qualcomm).
La vulnerabilità nel codec ALAC è un esempio di come il software inutilizzato possa essere potenzialmente dannoso per gli utenti. Forse nessuno deve essere convinto dell’importanza delle patch di sistema per proteggere le apparecchiature dagli attacchi dei criminali informatici.
Fonte: ricerca Check Point.
Lascia un commento