Già in passato gli esperti di Check Point Research avevano individuato alcune vulnerabilità di sicurezza nei componenti software utilizzati da produttori di SoC (System-on-a-Chip) come Qualcomm e MediaTek.
Stavolta il problema di sicurezza viene descritto come piuttosto grave perché potrebbe essere sfruttato da un aggressore remoto per eseguire codice a distanza sui dispositivi mobili degli utenti malcapitati.
In cosa consiste il problema di sicurezza e perché è così rilevante per gli utenti Android tanto da interessare qualcosa come due terzi di tutti i dispositivi oggi utilizzati a livello mondiale?
Nel 2004 Apple introdusse ALAC (Apple Lossless Audio Codec), un formato per la codifica audio che consente la compressione di “tracce” sonore senza perdita di dati (algoritmo lossless). A fine 2011 la Mela ha deciso di rendere ALAC un codec open source aprendo così la strada all’integrazione dello stesso in molteplici dispositivi e programmi di riproduzione audio non-Apple, tra cui smartphone basati su Android, lettori multimediali Linux e Windows e convertitori.
Apple ha aggiornato la versione del decoder per il formato ALAC diverse volte correggendo i problemi di sicurezza via via emersi. Il codice condiviso nel 2011, tuttavia, non sarebbe stato oggetto di alcun intervento.
I ricercatori di Check Point hanno quindi scoperto di recente che l’implementazione vulnerabile del codec ALAC è finita nei decoder audio di Qualcomm e MediaTek.
Le vulnerabilità individuate da Check Point potrebbero essere utilizzate da un aggressore per eseguire codice da remoto (RCE, remote code execution) inviando un file audio congegnato allo scopo.
Un attacco RCE può consentire il caricamento di malware sul dispositivo dell’utente e, ad esempio, il controllo completo delle fotocamere: in questo modo la vittima potrà essere spiata a distanza.
Un’app Android malevola potrebbe utilizzare queste vulnerabilità per acquisire privilegi elevati e ottenere l’accesso a dati personali e informazioni riservate.
Check Point ha collaborato con Qualcomm e MediaTek al fine della risoluzione delle vulnerabilità in questione. I problemi di sicurezza (CVE-2021-30351, CVE-2021-0674 e CVE-2021-0675) sono stati tutti risolti a dicembre 2021 sia da Qualcomm che da MediaTek.
L’azienda protagonista della scoperta promette la pubblicazione di una serie di dettagli tecnici in occasione dell’evento CanSecWest (18-20 maggio 2022).
Il problema resta a questo punto l’effettivo aggiornamento dei dispositivi Android vulnerabili: quelli non più supportati dai rispettivi produttori potrebbero restare esposti ad eventuali attacchi non ricevendo alcuna patch correttiva. Nelle impostazioni di Android è importante verificare il Livello patch di sicurezza e controllare di aver ricevuto e installato l’aggiornamento di dicembre 2021 (2021-12-01). Come si vede, infatti, Google cita come integrate e risolte le vulnerabilità menzionate da Check Point nel suo resoconto.