Se han revelado tres vulnerabilidades de seguridad en los descodificadores de audio de los chips de Qualcomm y MediaTek que, si no se resuelven, podrían permitir a un adversario acceder de forma remota a las conversaciones de audio y multimedia de los dispositivos móviles afectados.
Según la empresa israelí de ciberseguridad Check Point, los problemas podrían utilizarse como plataforma de lanzamiento para llevar a cabo ataques de ejecución remota de código (RCE) simplemente enviando un archivo de audio especialmente diseñado.
«El impacto de una vulnerabilidad RCE puede ir desde la ejecución de malware hasta que un atacante obtenga el control de los datos multimedia de un usuario, incluyendo la transmisión de la cámara de una máquina comprometida», dijeron los investigadores en un informe compartido con The Hacker News.
«Además, una aplicación Android sin privilegios podría utilizar estas vulnerabilidades para escalar sus privilegios y obtener acceso a los datos multimedia y a las conversaciones del usuario».
Las vulnerabilidades, bautizadas como ALHACK, tienen su origen en un formato de codificación de audio desarrollado originalmente y de código abierto por Apple en 2011. Llamado Apple Lossless Audio Codec (ALAC) o Apple Lossless, el formato de codificación de audio se utiliza para la compresión de datos sin pérdida de la música digital.
Desde entonces, varios proveedores de terceros, como Qualcomm y MediaTek, han incorporado la implementación del códec de audio de referencia suministrado por Apple como base para sus propios descodificadores de audio.
Y mientras que Apple ha parcheado y corregido constantemente los fallos de seguridad de su versión propietaria de ALAC, la variante de código abierto del códec no ha recibido ni una sola actualización desde que se subió a GitHub hace 11 años, el 27 de octubre de 2011.
Las vulnerabilidades descubiertas por Check Point están relacionadas con este código ALAC portado, dos de las cuales se han identificado en los procesadores de MediaTek y una en los chipsets de Qualcomm.
- CVE-2021-0674 (CVSS score: 5.5, MediaTek) – A case of improper input validation in ALAC decoder leading to information disclosure without any user interaction
- CVE-2021-0675 (CVSS score: 7.8, MediaTek) – A local privilege escalation flaw in ALAC decoder stemming from out-of-bounds write
- CVE-2021-30351 (CVSS score: 9.8, Qualcomm) – An out-of-bound memory access due to improper validation of number of frames being passed during music playback
En una prueba de concepto ideada por Check Point, las vulnerabilidades permitían «robar el flujo de la cámara del teléfono», dijo el investigador de seguridad Slava Makkaveev, a quien se atribuye el descubrimiento de los fallos junto con Netanel Ben Simon.
Tras la revelación responsable, las tres vulnerabilidades fueron cerradas por los respectivos fabricantes de chipset en diciembre de 2021.
«Las vulnerabilidades eran fácilmente explotables», explicó Makkaveev. «Un actor de la amenaza podría haber enviado una canción (archivo multimedia) y, al ser reproducida por una víctima potencial, podría haber inyectado código en el servicio multimedia privilegiado. El actor de la amenaza podría haber visto lo que el usuario del móvil ve en su teléfono».