Chi possiede uno smartphone Android rischia di essere spiato da malintenzionati che potrebbero accedere direttamente alle sue conversazioni private, ai file audio conservati nel telefono e anche alle videochiamate. Questo l’allarme gettato da Check Point Research, la divisione ricerca di Check Point Software Technologies, e il problema sarebbe molto esteso: due terzi degli utenti Android sarebbero esposti, almeno potenzialmente, a questo rischio.
Esiste, infatti, una vulnerabilità negli audio decoder di Qualcomm e MediaTek, estremamente diffusi nel mercato dei dispositivi Android. Più precisamente, il problema riguarda il formato di codifica e compressione ALAC (Apple Lossless Audio Codec), introdotto da Apple nel 2004 e diventato open source nel 2011. Da allora, è stato incorporato in molti dispositivi e programmi di riproduzione audio anche di aziende concorrenti di Apple, tra cui smartphone Android, lettori multimediali Linux e Windows e convertitori.
In teoria, queste falle consentirebbero a chi dovesse tentare di ottenere accesso da remoto ai contenuti media, allo streaming video (dalla fotocamera del telefono) e alle conversazioni audio salvate nel dispositivo. Al malintenzionato basterebbe accedere ed eseguire da remoto un file audio confezionato ad hoc. Inoltre, un’applicazione Android malevola potrebbe utilizzare queste vulnerabilità per scalare i privilegi e ottenere l'accesso ai dati multimediali e alle conversazioni degli utenti.
Non è dato sapere se e quanti episodi di questo tipo siano effettivamente accaduti, ma a detta di Slava Makkaveev, reverse engineering & security research di Check Point, si tratta di “vulnerabilità facilmente sfruttabili” e in circolazione da molti anni. In un proof-of-concept realizzato dai ricercatori è stato possibile intercettare tutto ciò che la videocamera del telefono stava trasmettendo in quel momento.
I ricercatori di Check Point hanno avvertito Qualcomm e MediaTek la scoperta delle falle, che sono state corrette. MediaTek ha rilasciato i correttivi per le vulnerabilità denominate CVE-2021-0674 e CVE-2021-0675, mentre Qualcomm ha corretto la CVE-2021-30351. Benché il rilascio risalga a fine 2021, è possibile che molti telefoni siano ancora privi di queste patch.