/

Falhas de segurança: dois terços dos telemóveis estiveram em risco

Detectadas vulnerabilidades nos descodificadores de áudio utilizados por Qualcomm e MediaTek. Código partilhado há 11 anos.

Dois terços dos telemóveis em todo o mundo estiveram em risco de apresentar falhas de segurança, devido a vulnerabilidades em descodificadores de áudio.

A informação foi anunciada nesta quinta-feira pela Check Point Research (CPR), empresa especialista em cibersegurança.

“Descobrimos um conjunto de vulnerabilidades que poderiam ser utilizadas para execução remota e concessão de privilégios em dois terços dos dispositivos móveis de todo o mundo. E as vulnerabilidades eram de fácil exploração”, explicou Slava Makkaveev, da CPR.

“Um cibercriminoso poderia enviar uma música (qualquer ficheiro multimédia) e, assim que reproduzido pela potencial vítima, poderia ser injectado código malicioso no serviço de reprodução. O cibercriminoso poderia ver o que o utilizador via,” acrescentou Slava.

As vulnerabilidades foram descobertas no Apple Lossless Audio Codec (ALAC), ou Apple Lossless. Ao longo dos anos foi incluído em muitos dispositivos e programas de reprodução áudio que não são produzidos pela Apple, como telemóveis Android ou leitores e conversores media Windows e Linux.

Este formato já foi apresentado em 2004 e está em código aberto há mais de uma década, desde 2011. A Apple tem actualizado a versão proprietária do descodificador, foi corrigindo as falhas de segurança, mas o código partilhado não é corrigido desde 2011.

Esse formato de descodificação de áudio é utilizado por dois dos maiores fabricantes de chips: Qualcomm e MediaTek, com quem a CPR partilhou as informações recolhidas e foi corrigindo as falhas – que deixaram de existir, segundo o relatório de Dezembro de 2021.

A CPR acredita que, em algum momento, cerca de dois terços dos telemóveis estiveram em risco – porque o pirata informático poderia aceder remotamente a ficheiros multimédia e conversas áudio.

Nuno Teixeira da Silva, ZAP //

Deixe o seu comentário

Your email address will not be published.