Check Point Research (CPR), la divisione Threat Intelligence di Check Point Software Technologies, ha trovato due gravi vulnerabilità nei decoder audio dei processori Qualcomm e Mediatek che riguardano milioni di smartphone. La “colpa” è di Apple.

Prima di allarmarsi è bene chiarire una cosa: ci troviamo davanti al solito bug grave che può essere sfruttato per creare un malware o un sistema di sorveglianza. Ne esistono centinaia, e quelli noti sono solo la punta dell’iceberg. Tuttavia questa volta il bug merita di essere raccontato per la sua genesi: stiamo parlando di un problema che riguarda i decoder audio di Qualcomm e Mediatek, e sappiamo che le due aziende sono i più grandi produttori di chip per smartphone Android al mondo. Secondo le stime più dei due terzi dei telefoni di tutto il mondo sono vulnerabili, un numero enorme. Sono esclusi gli iPhone, e sono esclusi pochissimi telefoni Android aggiornati. Per tutti gli altri c’è poco da fare, soprattutto per quelli vecchi che non verranno mai aggiornati. La falla può essere sfruttata in modo semplice: con un file audio. Inviando un file audio ad un dispositivo Android questo file, e basta che il sistema provi a fare la preview o provi a riprodurlo, potrebbe eseguire un codice che permette di accedere da remoto ai dati del DSP. Il DSP di un telefono gestisce i flussi audio, i microfoni e la fotocamera, e questo vuol dire che potenzialmente si potrebbe trasformare il telefono in un sistema di trasmissione. La vulnerabilità può essere sfruttata secondo Check Point anche da un’app fatta apposta per sfruttare questo bug: potrebbe scalare i privilegi e avere accesso ai flussi audio e video che passano dai vari DSP. Cosa ha a che fare Apple con tutto questo? La vulnerabilità riguarda l’Apple Lossless Audio Codec (ALAC), noto anche come Apple Lossless. ALAC è il formato di codifica audio sviluppato da Apple e introdotto nel 2004 per la compressione senza perdita dati della musica digitale. Alla fine del 2011 Apple ha reso il codec open source e da quel momento il formato ALAC è stato incorporato in molti dispositivi e programmi di riproduzione audio non-Apple, tra cui smartphone basati su Android, lettori multimediali Linux e Windows e convertitori. La vulnerabilità dei processori Mediatek e Qualcomm è una falla del decoder software del formato ALAC di Apple. Apple ha una colpa in tutto questo: ha rilasciato ALAC come “open-source” ma dal 2011 ha continuato a lavorare e migliorare il codec nel suo repository privato, chiudendo ogni possibile falla di sicurezza. La versione open-source non è stata mantenuta da nessuno, non da Apple che si è preoccupata solo della sua versione né da contributor esterni: dal 2011 il decoder della versione open non viene patchato. Il decoder ALAC che usa Apple è sicuro, quello degli altri no. Qualcomm e Mediatek hanno così portato la vulnerabilità nelle loro build dei driver, anche se quando si sono accorti della cosa a ottobre del 2021 hanno provveduto a chiudere il bug. Anche in questo caso, ed è paradossale, lo hanno chiuso sulle loro build, il codice sorgente del repository open ha ancora i bug di sicurezza. La falla è stata marcata da Qualcomm come CVE-2021-30351 e da Mediatek come CVE-2021-0674 e CVE-2021-0675, e qualcuno l’ha già corretta: OPPO, ad esempio, l’ha corretta con le patch di dicembre mentre Samsung l’ha inserita nelle patch di gennaio anche se ha specificato che non riguarda alcuni dispositivi Samsung, quelli con Exynos: probabilmente usano un altro tipo di decoder.