Rischio privacy per audio e videochiamate sui telefoni Android
Una vulnerabilità degli audio decoder Qualcomm e MediaTek permette, in teoria, di spiare conversazioni e video. L’allarme di Check Point
Pubblicato il 22 aprile 2022 da Redazione
Chi possiede uno smartphone Android rischia di essere spiato da malintenzionati che potrebbero accedere direttamente alle sue conversazioni private, ai file audio conservati nel telefono e anche alle videochiamate. Questo l’allarme gettato da Check Point Research, la divisione ricerca di Check Point Software Technologies, e il problema sarebbe molto esteso: due terzi degli utenti Android sarebbero esposti, almeno potenzialmente, a questo rischio.
Esiste, infatti, una vulnerabilità negli audio decoder di Qualcomm e MediaTek, estremamente diffusi nel mercato dei dispositivi Android. Più precisamente, il problema riguarda il formato di codifica e compressione ALAC (Apple Lossless Audio Codec), introdotto da Apple nel 2004 e diventato open source nel 2011. Da allora, è stato incorporato in molti dispositivi e programmi di riproduzione audio anche di aziende concorrenti di Apple, tra cui smartphone Android, lettori multimediali Linux e Windows e convertitori.
In teoria, queste falle consentirebbero a chi dovesse tentare di ottenere accesso da remoto ai contenuti media, allo streaming video (dalla fotocamera del telefono) e alle conversazioni audio salvate nel dispositivo. Al malintenzionato basterebbe accedere ed eseguire da remoto un file audio confezionato ad hoc. Inoltre, un’applicazione Android malevola potrebbe utilizzare queste vulnerabilità per scalare i privilegi e ottenere l’accesso ai dati multimediali e alle conversazioni degli utenti.
Non è dato sapere se e quanti episodi di questo tipo siano effettivamente accaduti, ma a detta di Slava Makkaveev, reverse engineering & security research di Check Point, si tratta di “vulnerabilità facilmente sfruttabili” e in circolazione da molti anni. In un proof-of-concept realizzato dai ricercatori è stato possibile intercettare tutto ciò che la videocamera del telefono stava trasmettendo in quel momento.
I ricercatori di Check Point hanno avvertito Qualcomm e MediaTek la scoperta delle falle, che sono state corrette. MediaTek ha rilasciato i correttivi per le vulnerabilità denominate CVE-2021-0674 e CVE-2021-0675, mentre Qualcomm ha corretto la CVE-2021-30351. Benché il rilascio risalga a fine 2021, è possibile che molti telefoni siano ancora privi di queste patch.
COMMENTO. Anche in questo caso è la solita storia. Prodotti lanciati sul mercato senza una sessione di test che verifichi ogni riga del codice. Poi si mettono le toppe (patches) e si spera che TUTTI i clienti adottino subito la patch, senza neanche un sistema informativo adeguato che informi di cosa deve essere fatto e di come deve essere fatto. A parte che molti malware resistono a una pulizia non adeguata del dispositivo. Bisogna convincere manager e professionisti che il telefono non è adatto per lavorare e che vantaggiosamente è meglio usare il tablet dove possono essere installati software molto più sicuri, tra cui ricordiamo le nostre soluzioni.