Circa due terzi di tutti gli smartphone Android venduti nel 2021sarebbero esposti ad una falla nella sicurezza che mette a rischio la privacy degli utenti. È questa la premessa del nuovo rapporto di Check Point Research che ha individuato vulnerabilità riconducibili al formato ALAC che consentirebbero ad un malintenzionato di accedere da remoto a dati personali dell'utente. Mediatek e Qualcomm hanno utilizzato la codifica audio ALAC, quindi i dispositivi equipaggiati con un chipset di una delle due aziende sarebbero esposti.
C'è di buono che le due aziende hanno rilasciato patch correttive a dicembre dello scorso anno. Nello specifico, Qualcomm ha corretto la vulnerabilità CVE-2021-30351, Mediatek le vulnerabilità CVE-2021-0674 e CVE-2021-0675. Il problema si pone quindi per chi possiede uno smartphone dotato di patch di sicurezza mensili antecedenti a dicembre 2021.
VULNERABILIT DEL FILE ALAC DI APPLE (VERSIONE OPEN SOURCE)
In breve: Le vulnerabilità riguardano il formato ALAC (Apple Lossless Audio Codec), il formato di codifica audio è stato sviluppato da Apple e introdotto nel 2004; nel 2011 Apple ha deciso di rendere il codec open source e da allora è stato integrato in numerosi dispositivi e software di riproduzione audio non Apple, compresi gli smartphone Android e i lettori multimediali per Linux e Windows. Apple ha aggiornato in più occasioni il codec correggendo i problemi di sicurezza, ma il codice condiviso (quello open source) non è stato corretto dal 2011. Qualcomm e Mediatek hanno utilizzato questo codice non patchato nei rispettivi decoder audio, sino alle correzioni introdotte a dicembre scorso.
In concreto le vulnerabilità del formato ALAC non corrette:
- consentirebbero all'hacker l'esecuzione di codice da remoto su un dispositivo mobile tramite un file audio. L'attacco da remoto può portare all'esecuzione di un malware che permette all'hacker di ottenere il controllo dei dati multimediali dell'utente, compresi quelli acquisiti dalla fotocamera.
- potrebbero essere sfruttate da un'app Android per ottenere l'accesso ai dati multimediali e alle conversazioni dell'utente.
Lato utente c'è poco da fare per proteggersi se non verificare di avere installato le più recenti patch di sicurezza. Il problema riguarda soprattutto i dispositivi non più supportati con le patch di dicembre 2021, negli altri casi basta un semplice aggiornamento.