Qualcomm y Mediatek ponen en riesgo a dos tercios de los usuarios de Android con los decodificadores de audio

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Qualcomm y MediaTek han utilizado decodificadores de audio vulnerables que han puesto en riesgo la privacidad de dos tercios de los usuarios de dispositivos Android en todo el mundo.

Investigadores de Check Point Research -una empresa especializada en proporcionar información sobre ciberamenazas- han descubierto vulnerabilidades en el códec de audio sin pérdidas de Apple, ALAC, que ponen en peligro a la gran mayoría de la comunidad Android, según su declaración.

ALAC es un formato de codificación de audio desarrollado por Apple y publicado en 2004. Se utiliza para comprimir datos musicales en formato digital. A finales de 2011, la empresa con sede en Cupertino hizo que el códec fuera de código abierto y comenzó a integrarse en muchos dispositivos y programas de reproducción, como los teléfonos móviles Android y los reproductores y convertidores multimedia Android. Linux y Windows.

Desde 2011, Apple ha actualizado varias veces la versión propietaria del descodificador, corrigiendo y parcheando problemas de seguridad, pero el código compartido no había sido parcheado desde 2011.

Los investigadores descubrieron que Qualcomm y MediaTek, los dos mayores fabricantes de chips del mundo, utilizaban el código ALAC vulnerable en sus descodificadores de audio. Esta debilidad puede haber sido utilizada para ejecutar remotamente código malicioso en dos tercios de los dispositivos móviles Android de todo el mundo.

Check Point Research compartió esta información con MediaTek y Qualcomm para asegurar que estas vulnerabilidades fueran parcheadas. Si no se hubieran parcheado, permitiría el acceso remoto a las conversaciones de audio y a los archivos multimedia de los usuarios.

MediaTek ha asignado los parches CVE-2021-0674 y CVE-2021-0675 a los problemas de ALAC y las vulnerabilidades ya han sido corregidas y publicadas en el boletín de seguridad de MediaTek de diciembre de 2021. Qualcomm, por su parte, ha publicado el parche para CVE-2021-30351 en su boletín de seguridad de diciembre de 2021.

Con información de Europa Press.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *