[ad_1]
Maçã desenvolveu um formato de áudio chamado Codec de áudio sem perdas da Apple (ALAC) em 2004 para usar no iTunes. Este formato de áudio oferecia compressão de dados sem perdas. O formato foi adotado por empresas em todo o mundo quando a Apple o abriu em 2011. Agora, um novo relatório sugere que um worm no ALAC pode afetar dois terços Android dispositivos que foram vendidos em 2021 e os dispositivos não corrigidos são vulneráveis à aquisição por invasores hostis.
O que é o erro do ALAC?
De acordo com um relatório da Test Level Analysis, a Apple continuou atualizando sua própria versão do ALAC ao longo dos anos, enquanto a versão de código aberto não foi atualizada com nenhuma correção de segurança desde que foi anunciada em 2011. A falta de correções de segurança permitiu uma vulnerabilidade não corrigida a ser incluída em processadores desenvolvidos por Qualcomm e MediaTek.
O que torna o worm tão perigoso?
O relatório sugere que a MediaTek e a Qualcomm incluíram o código ALAC comprometido nos decodificadores de áudio de seus chipsets. Essa vulnerabilidade pode ser usada por um hacker em um arquivo de áudio malformado para iniciar um ataque de execução remota de código (RCE). Por RCE ataques, os hackers não precisam ter acesso físico ao dispositivo alvo e podem executar o ataque remotamente. Isso torna o RCE o tipo mais perigoso de ataque de hackers.
Os hackers podem obter controle sobre os arquivos de mídia de um usuário e acessar a funcionalidade de streaming da câmera usando o arquivo de áudio malformado. Esse worm também pode ser usado para conceder a aplicativos Android específicos algumas permissões adicionais que ajudarão o hacker a acessar as conversas do usuário. Considerando a participação de mercado da MediaTek e da Qualcomm no chip móvel world, o relatório afirma que esse problema afeta dois terços de todos os telefones Android vendidos em 2021. No entanto, ambas as empresas emitiram correções em dezembro de 2021 que acabaram sendo enviadas para os fabricantes de dispositivos.
Outro relatório da Ars Technica menciona que a vulnerabilidade levanta algumas questões sérias sobre as etapas que a Qualcomm e a MediaTek estão tomando para garantir a segurança do código que estão implementando. Esperamos que a gravidade desse acidente possa instigar mudanças que se concentrem em manter os usuários seguros.
.