Falhas de segurança atingem fabricantes globais de chips.

Vulnerabilidades nos decodificadores de áudio utilizados pela Qualcomm e MediaTek, dois dos maiores fabricantes de chips do mundo, permitem que um invasor acesse remotamente arquivos multimídia e conversas via áudio de smartphones com Android. O alerta é da Check Point Research (CPR), divisão de inteligência em ameaças da Check Point Software, que estima que mais de dois terços de aparelhos do mundo com o sistema operacional do Google podem estar vulneráveis em algum momento. Segundo a investigação, o código vulnerável tem por base o código compartilhado pela Apple há 11 anos.

As vulnerabilidades foram identificadas, concretamente, no Apple Lossless Audio Codec (ALAC), também conhecido por Apple Lossless. O ALAC é um formato de codificação de áudio desenvolvido pela Apple e apresentado pela primeira vez em 2004 para compressão de informação de áudio digital sem perdas. Em 2011, a fabricante do iPhone abriu o código do software e o formato ALAC foi incorporado em muitos dispositivos e programas de reprodução de áudio não-Apple, incluindo smartphones Android, bem como leitores e conversores de mídia Windows e Linux. 

“Descobrimos um conjunto de vulnerabilidades que poderiam ser utilizadas para execução remota e concessão de privilégios em dois terços dos dispositivos móveis de todo o mundo. E as vulnerabilidades eram de fácil exploração. Um cibercriminoso poderia enviar uma música (qualquer arquivo multimídia) e, assim que reproduzido pela potencial vítima, poderia ter injetado código malicioso no serviço de reprodução. O cibercriminoso poderia ver o que o usuário visualizava”, diz Slava Makkaveev, pesquisador e especialista em Engenharia Reversa e Pesquisa de Segurança na divisão Check Point Research.

Para proteção dos usuários, os pesquisadores da CPR recomendam a atualização regular de sistemas operacionais, uma vez que todos os meses o Google lança atualizações de segurança no Android.

Matéria completa no link abaixo:

https://lnkd.in/d6aZQRmJ