book_icon

Check Point corrige falhas de segurança atingem que fabricantes globais de chips

A CPR estima que mais de dois terços dos smartphones de todo o mundo estiveram vulneráveis em algum momento

Check Point corrige falhas de segurança atingem que fabricantes globais de chips

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, identificou vulnerabilidades nos decodificadores de áudio utilizados pela Qualcomm e MediaTek, dois dos maiores fabricantes de chips do mundo. Se não fossem corrigidas, as falhas de segurança permitiriam a um atacante acessar remotamente arquivos multimídia e conversas via áudio. A CPR estima que mais de dois terços dos smartphones de todo o mundo estiveram vulneráveis em algum momento. Segundo a investigação, o código vulnerável tem por base o código compartilhado pela Apple há 11 anos.

Para proteção dos usuários, os pesquisadores da CPR recomendam a atualização regular de sistemas operacionais, uma vez que todos os meses o Google lança atualizações de segurança no Android 

Decodificadores de áudio utilizados por MediaTek e Qualcomm apresentavam vulnerabilidades
As vulnerabilidades foram identificadas, concretamente, no Apple Lossless Audio Codec (ALAC), também conhecido por Apple Lossless. O ALAC é um formato de codificação de áudio desenvolvido pela Apple e apresentado pela primeira vez em 2004 para compressão de informação de áudio digital sem perdas. Em 2011, a Apple colocou o software em código aberto e o formato ALAC foi incorporado em muitos dispositivos e programas de reprodução de áudio não-Apple, incluindo smartphones Android, bem como leitores e conversores de mídia Windows e Linux.

Desde então, a Apple tem atualizado várias vezes a versão proprietária do decodificador, corrigindo as falhas de segurança existentes. Contudo, o código compartilhado não é corrigido desde 2011. A CPR descobriu que a Qualcomm e a MediaTek utilizavam em seus decodificadores de áudio o código ALAC vulnerável.

A CPR compartilhou a informação obtida com a MediaTek e Qualcomm, trabalhando próxima com ambos os fornecedores no sentido de corrigir essas vulnerabilidades, contribuindo para que os usuários implementassem em tempo as devidas correções. A MediaTek atribuiu as vulnerabilidades CVE-2021-0674 e CVE-2021-0675 aos problemas com a codificação ALAC. Essas vulnerabilidades já foram corrigidas e divulgadas em dezembro de 2021 no MediaTek Security Bulletin. Também a Qualcomm lançou o patch para a CVE-2021-30351 em dezembro de 2021 no Qualcomm Security Bulletin.

“Descobrimos um conjunto de vulnerabilidades que poderiam ser utilizadas para execução remota e concessão de privilégios em dois terços dos dispositivos móveis de todo o mundo. E as vulnerabilidades eram de fácil exploração. Um cibercriminoso poderia enviar uma música (qualquer arquivo multimídia) e, assim que reproduzido pela potencial vítima, poderia ter injetado código malicioso no serviço de reprodução. O cibercriminoso poderia ver o que o usuário visualizava”, diz Slava Makkaveev, pesquisador e especialista em Engenharia Reversa e Pesquisa de Segurança na divisão Check Point Research. “Em nossa prova de conceito, fomos capazes de roubar o stream de câmera do smartphone. Qual é a informação mais sensível que podemos ter em nossos dispositivos móveis? Penso que são os arquivos multimídia: áudio e vídeos. Um atacante poderia roubá-los por meio dessas vulnerabilidades”, informa Makkaveev.

Para proteção dos usuários, os pesquisadores da CPR recomendam a atualização regular de sistemas operacionais, uma vez que todos os meses o Google lança atualizações de segurança no Android.

Apple Lossless Audio Codec (ALAC)

Check Point Research (CPR)

Qualcomm e MediaTek

Slava Makkaveev

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.
Revista Digital
Edição do mês

Leia nesta edição:

Leia nessa edição sobre tecnologia

CAPA | TECNOLOGIA

5G impõe seu ritmo

Leia nessa edição sobre carreira

MERCADO

Brincadeira de gente grande

Leia nessa edição sobre setorial | saúde

GESTÃO

Backup: a última linha de defesa

Esta é para você leitor da Revista Digital:

Leia nessa edição sobre sustentabilidade

NEGÓCIOS

Terceirização de equipamentos

Maio 2022 | #57 - Acesse:

Infor Channel Digital

Baixe o nosso aplicativo

Google Play
Apple Store

Agenda & Eventos

Cadastre seu Evento