Sono state identificate tre gravi vulnerabilità che affliggevano gli audio decoder di Qualcomm e MediaTek, i due principali produttori di chipset per le piattaforme mobile. Se non corrette con le patch prontamente rilasciate dai due chipmaker, i bug avrebbero potuto consentire a un criminal hacker di accedere da remoto ai media e alle conversazioni audio archiviate nella memoria dei dispositivi, esponendo milioni di utenti Android ad attività di cyber spionaggio.
“Le vulnerabilità rintracciate negli audio decoder MediaTek e Qualcomm sono di assoluto rilievo per diverse ragioni”, afferma Paolo Dal Checco, consulente informatico forense, e ci illustra quali.
Indice degli argomenti
Perché le vulnerabilità sono allarmanti
“La prima”, continua Dal Checco, “è l’ampia diffusione del decoder, diffuso nel mondo open source per la prima volta nel 2011 e a oggi impiegato sulla maggior parte dei dispositivi Android. La seconda è che si tratta di una vulnerabilità piuttosto semplice da sfruttare: è sufficiente inviare alla vittima un file audio, caricarlo su un sito web, trasmetterlo via chat, per fare breccia nel decoder attivandone funzionalità non inizialmente previste, che possono andare dall’accesso ai file multimediali fino ad arrivare alla possibilità di ottenere il pieno controllo del dispositivo”.
“Ulteriore problema”, sottolinea ancora Dal Checco, “il fatto che le vulnerabilità potrebbero essere già state sfruttate da anni, senza che nessuno se ne sia accorto: con la ‘responsible disclosure’ di Check Point Research, dalle prossime versioni di Android in poi (o dall’installazione delle patch) i bachi non saranno più sfruttabili, ma negli anni passati è difficile fare valutazioni sull’utilizzo. Sarebbe interessante approfondire e conoscere quali tracce può aver lasciato lo sfruttamento delle vulnerabilità rilevate da Check Point, per poterne riconoscere l’utilizzo in episodi passati, magari attraverso analisi forense di dispositivi mobili oggetto di potenziali attacchi”.
Falle utili in informatica forense
“Interessante inoltre notare come, spesso, questo tipo di vulnerabilità possono essere utili anche in ambito d’informatica forense”, evidenzia Dal Checco, “poiché gli strumenti che vengono utilizzati per attività di estrazione dati da smartphone con tecniche di mobile forensics (es. Cellebrite UFED, Oxygen Forensics, MSAB Xry, etc…) sfruttano spesso bachi e debolezze dei dispositivi per poter operare acquisizioni forensi il più complete possibile, accedendo ad aree del sistema altrimenti non raggiungibili”.
“Le modalità di acquisizione forense di cellulari definite ‘physical’ o ‘full file system’, ad esempio, possono in taluni casi essere ottenute proprio grazie allo sfruttamento di librerie, App o parti del sistema operativo vulnerabili e che permettono – tramite opportune chiamate – la scalata dei privilegi finalizzata a poter operare a un livello più ampio rispetto a quanto non sia fattibile con una normale utenza non amministrativa. In sostanza, grazie ai bachi dei sistemi e a tecniche di digital forensics, invece di eseguire un attacco dannoso, mediante strumentazione di mobile forensics si riesce talvolta ad accedere a contenuti del telefono altrimenti nascosti o inaccessibili, aumentando quindi le potenzialità investigative e di cristallizzazione della prova digitale”, conclude Dal Checco.
Utenti Android a rischio cyber spionaggio
Le vulnerabilità negli audio decoder di Qualcomm e MediaTek, i cui chipset presenti in oltre due terzi dei telefoni in tutto il mondo, sono state scoperte dalla divisione Threat Intelligence di Check Point Software Technologies.
“Queste falle sono estremamente insidiose”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “trattandosi di vulnerabilità RCE, ovvero che consentono esecuzione in remoto di codice arbitrario sui dispositivi vulnerabili”.
Infatti “questa capacità consente ad un attaccante di poter compromettere il dispositivo preso di mira”, continua Paganini: “Ad aggravare la situazione vi è il fatto che la falla risiede in un software utilizzato da due dei principali produttori di chipset mondiali, in uso in circa due terzi dei dispositivi Android in circolazione. Lecito attendersi che diverse categorie di attaccanti tentino di sfruttare la falla una volta resi noti i dettagli tecnici per il suo sfruttamento”.
Mediante lo sfruttamento delle falle, un cyber criminale potrebbe eseguire codice da remoto (RCE) su un dispositivo mobile tramite un file audio malformato.
Basta dunque un attacco RCE per eseguire malware, consentendo a un malintenzionato di ottenere il controllo sui dati multimediali di un utente: compreso lo streaming dalla fotocamera del dispositivo vulnerabile.
Inoltre, un’app Android potrebbe sfruttare queste falle per scalare i privilegi e accedere ai dati multimediali e alle conversazioni degli utenti.
Dopo che i ricercatori Check Point hanno avvertito Qualcomm e MediaTek di aver individuato le falle, queste sono state prontamente risolte.
I dettagli tecnici dei bug nel codec ALAC
Ricordiamo che ALAC è un formato di codifica audio per la compressione senza perdita dati, della musica digitale, sviluppato da Apple e lanciato per la prima volta nel 2004.
Alla fine del 2011 Apple ha reso il codec open source. Da allora, i vendor hanno inglobato il formato ALAC in molti device e programmi di riproduzione audio non-Apple:
- smartphone basati su Android;
lettori multimediali Linux e Windows;
convertitori.
Apple ha aggiornato la versione del decoder più volte, rilasciando patch per sanare i problemi di sicurezza. Tuttavia, il codice condiviso non riceve patch dal lontano 2011. CPR ha scoperto che Qualcomm e MediaTek hanno portato il codice ALAC con le falle nei loro audio decoder.
