Più di due terzi degli smartphone in tutto il mondo sarebbero a rischio a causa di una recente vulnerabilità scoperta da Check Point Research (CPR). Dispositivi non adeguatamente protetti con patch di sicurezza aggiornate, potrebbero potenzialmente essere vittime di una falla, identificata dalla divisione Threat Intelligence di Check Point Software Technologies, che si annida negli audio decoder di Qualcomm e MediaTek, i due maggiori produttori di chip mobile. 

Le vulnerabilità potrebbero essere utilizzate da un hacker per un’esecuzione di codice da remoto (RCE) su un dispositivo mobile attraverso un file audio corrotto. Un attacco RCE può eseguire malware per un hacker, ottenendo il controllo totale sui dati multimediali di una utenza, compreso lo “streaming” dalla fotocamera del dispositivo compromesso. Inoltre, un'app Android potrebbe utilizzare queste vulnerabilità per scalare i privilegi e ottenere l'accesso ai dati multimediali e alle conversazioni degli utenti.

Le falle sono state trovate in Apple Lossless Audio Codec (ALAC), noto anche come Apple Lossless. ALAC è un formato di codifica audio sviluppato da Apple Inc. e introdotto per la prima volta nel 2004 per la compressione, senza perdita dati, della musica digitale. Alla fine del 2011 Apple ha reso il codec open source. Da allora, il formato ALAC è stato incorporato in molti dispositivi e programmi di riproduzione audio non-Apple, tra cui smartphone basati su Android, lettori multimediali Linux e Windows e convertitori. Apple ha aggiornato la versione del decoder diverse volte, correggendo e risolvendo i problemi di sicurezza, ma il codice condiviso non era stato “patchato” dal 2011.

Con la scoperta delle falle da parte di CPR, i due giganti tecnologici Qualcomm e MediaTek hanno immediatamente individuato l’origine delle vulnerabilità che si insidiavano nel codice ALAC e le hanno opportunamente corrette.