Il settore degli smartphone è esposto in modo particolare a vulnerabilità di varia gravità e lo staff di Check Point Research ha reso noto di averne scoperta una piuttosto preoccupante: a causa di essa, infatti, la privacy di almeno la metà degli utenti Android a livello globale sarebbe a rischio.

Le nuove vulnerabilità scoperte dai ricercatori si dicurezza sono relative al formato audio ALAC, utilizzato dai due principali produttori di processori mobile (ossia Qualcomm e MediaTek) nelle proprie CPU.

ALAC nasconde un grave rischio per la privacy

Il formato audio ALAC (acronimo di Apple Lossless Audio Codec) è stato lanciato da Apple nel 2004, che alla fine del 2011 lo ha reso open source, venendo così implementato in molti dispositivi e programmi di riproduzione audio non Apple, inclusi smartphone basati su Android, lettori e convertitori multimediali Linux e Windows.

Da allora il colosso di Cupertino ha aggiornato più volte la versione proprietaria di questo codec, risolvendo e correggendo i problemi di sicurezza mentre il codice condiviso non è più stato aggiornato dal 2011.

Stando a quanto è stato scoperto dallo staff di Check Point Research, sia Qualcomm che MediaTek avrebbero implementato il codice ALAC vulnerabile nei rispettivi processori e ciò significa che 2/3 degli smartphone Android venduti nel 2021 sono esposti a tali vulnerabilità.

In particolare, le vulnerabilità del formato ALAC potrebbero essere sfruttate da un malintenzionato per attaccare un dispositivo mobile tramite un file audio non valido ed eseguire codice dannoso. Inoltre un’app Android potrebbe sfruttare queste vulnerabilità per aumentare i propri privilegi e ottenere l’accesso ai dati multimediali e alle conversazioni degli utenti.

Lo staff di Check Point Research ha prontamente informato sia Qualcomm che MediaTek e i due produttori di processori hanno già provveduto a risolvere i problemi di sicurezza lo scorso dicembre.

Ulteriori dettagli saranno forniti in occasione della Conferenza CanSecWest, in programma dal 18 al 22 maggio.