Se han revelado tres vulnerabilidades de seguridad en los descodificadores de audio de los chips de Qualcomm y MediaTek que, si no se resuelven, podrían permitir a un adversario acceder de forma remota a las conversaciones de audio y multimedia de los dispositivos móviles afectados.
Según la empresa israelí de ciberseguridad Check Point, los problemas podrían utilizarse como plataforma de lanzamiento para llevar a cabo ataques de ejecución remota de código (RCE) simplemente enviando un archivo de audio especialmente diseñado.
"El impacto de una vulnerabilidad RCE puede ir desde la ejecución de malware hasta que un atacante obtenga el control de los datos multimedia de un usuario, incluyendo la transmisión de la cámara de una máquina comprometida", dijeron los investigadores.
"Además, una aplicación Android sin privilegios podría utilizar estas vulnerabilidades para escalar sus privilegios y obtener acceso a los datos multimedia y a las conversaciones del usuario".
Las vulnerabilidades tienen su origen en un formato de codificación de audio desarrollado originalmente y de código abierto por Apple en 2011, llamado Apple Lossless Audio Codec (ALAC) o Apple Lossless, el formato de codificación de audio se utiliza para la compresión de datos sin pérdida de la música digital.
Desde entonces, varios proveedores de terceros, como Qualcomm y MediaTek, han incorporado la implementación del códec de audio de referencia suministrado por Apple como base para sus propios descodificadores de audio.
Por su parte, Apple ha parcheado y corregido constantemente los fallos de seguridad de su versión propietaria de ALAC, la variante de código abierto del códec no ha recibido ni una sola actualización desde que se subió a GitHub hace 11 años, el 27 de octubre de 2011.
Las vulnerabilidades descubiertas por Check Point están relacionadas con este código ALAC portado, dos de las cuales han sido identificadas en procesadores MediaTek y una en chipsets Qualcomm
CVE-2021-0674 (puntuación CVSS: 5,5, MediaTek) - Un caso de validación de entrada inadecuada en el decodificador ALAC que conduce a la divulgación de información sin ninguna interacción del usuario
CVE-2021-0675 (puntuación CVSS: 7,8, MediaTek) - Un fallo de escalada de privilegios local en el descodificador ALAC derivado de una escritura fuera de límites
CVE-2021-30351 (puntuación CVSS: 9,8, Qualcomm) - Un acceso a la memoria fuera de límites debido a una validación incorrecta del número de fotogramas que se pasan durante la reproducción de música
En una prueba de concepto ideada por Check Point, las vulnerabilidades permitían "robar el flujo de la cámara del teléfono", dijo el investigador de seguridad Slava Makkaveev, a quien se atribuye el descubrimiento de los fallos junto con Netanel Ben Simon.
Tras la revelación responsable, las tres vulnerabilidades fueron cerradas por los respectivos fabricantes de chipset en diciembre de 2021.
"Las vulnerabilidades eran fácilmente explotables", explicó Makkaveev. "Un actor de la amenaza podría haber enviado una canción (archivo multimedia) y al ser reproducida por una víctima potencial, podría haber inyectado código en el servicio multimedia privilegiado. El actor de la amenaza podría haber visto lo que el usuario del móvil ve en su teléfono".