Il team Research di Check Point, importante software di sicurezza informatica, ha recentemente scoperto una pericolosa falla di sicurezza negli audio decoder Qualcomm e MediaTek, componenti presenti in più di due terzi dei telefoni Android di tutto il mondo.
Il rischio in questione è stata riscontrata per la precisione in Apple Lossless Audio Codec (ALAC), un formato di codifica e compressione dati per i formati audio introdotto da Apple nel 2004 e reso open source nel 2011.
Gli esperti di Check Point hanno rilevato una serie di vulnerabilità proprio in questo codice condiviso, che a differenza del suo equivalente Apple non è stato aggiornato ma è restato identico per più di 10 anni a bordo degli audio decoder presenti all'interno degli smartphone Android.
Dal punto di vista della sicurezza, il codice risalente al 2011 presente a bordo degli smartphone con chip Qualcomm e MediaTek (i due principali produttori di SoC per smartphone e tablet Android) è risultato vulnerabile ad attacchi hacker con esecuzione di codice da remoto.
In pratica, utilizzando un file audio "infetto", dei malintenzionati potrebbero ottenere il controllo sui dati e sui file multimediali all'interno del dispositivo, compresa l'attività della sua fotocamera.
Lo stesso risultato si potrebbe ottenere utilizzando un'applicazione Android (magari scaricata da fonti sconosciute con un livello di sicurezza inferiore rispetto al Google Play Store) capace di scalare le autorizzazioni dichiarate nel log e ottenere ugualmente l'accesso a dati e informazioni.
Questi possibili scenari sono stati individuati dal team di Check Point come proof-of-concept. L'azienda non ha rilasciato per il momento ulteriori dettagli sull'operazione, ma ha comunicato la presenza della falla nel codec audio a Qualcomm e MediaTek.
I due produttori di chip hanno prontamente posto rimedio al problema entro la fine del 2021. La maggior parte degli utenti non avrà dunque motivo di preoccuparsi, dal momento che dovrebbe avere già ricevuto una o più patch di sicurezza in questo arco di tempo.
Vale per tutti l'avvertimento a scaricare e installare periodicamente gli aggiornamenti di sicurezza più recenti per il vostro dispositivo Android e considerare l'idea di effettuare un upgrade a un nuovo modello una volta terminato il periodo di supporto delle patch.
