{"id":19280,"date":"2022-04-22T18:16:08","date_gmt":"2022-04-22T21:16:08","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19280"},"modified":"2022-04-22T18:16:10","modified_gmt":"2022-04-22T21:16:10","slug":"codec-de-audio-e-vulnerabilidades-em-telefones-android","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/04\/basico\/codec-de-audio-e-vulnerabilidades-em-telefones-android\/","title":{"rendered":"Codec de \u00e1udio e vulnerabilidades em telefones Android"},"content":{"rendered":"\n<h2 class=\"page-title\" style=\"text-align: left;\"><span><span class=\"goog-text-highlight\">Codec de \u00e1udio feito pela Apple introduziu s\u00e9rias vulnerabilidades em milh\u00f5es de telefones Android<\/span><\/span><\/h2>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span class=\"\">Um codec de \u00e1udio de c\u00f3digo aberto desenvolvido pela Apple \u00e9 afetado por s\u00e9rias vulnerabilidades que foram enviadas para milh\u00f5es de dispositivos Android, por alguns dos maiores fabricantes de chipsets m\u00f3veis do mundo<\/span><strong><span><span class=\"\">.<\/span><\/span><\/strong><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>O Apple Lossless Audio Codec (ALAC) foi introduzido pela Apple em 2004 e, em 2011, a gigante da tecnologia decidiu tornar o ALAC open source. O c\u00f3digo ALAC de c\u00f3digo aberto foi escolhido por muitos outros fornecedores para dispositivos que n\u00e3o s\u00e3o da Apple.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>A Apple continuou a melhorar a vers\u00e3o propriet\u00e1ria do codec, mas o c\u00f3digo-fonte aberto nunca foi atualizado nos \u00faltimos 11 anos e parece que os fornecedores terceirizados que usam esse c\u00f3digo n\u00e3o fizeram esfor\u00e7os para garantir sua seguran\u00e7a.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Pesquisadores da empresa de seguran\u00e7a cibern\u00e9tica Check Point descobriram que o c\u00f3digo ALAC de c\u00f3digo aberto \u00e9 afetado por s\u00e9rias vulnerabilidades, e pelo menos dois grandes fabricantes de chipsets m\u00f3veis, Qualcomm e MediaTek, o usaram para seus decodificadores de \u00e1udio.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>A Qualcomm e a MediaTek t\u00eam participa\u00e7\u00f5es de mercado significativas e a Check Point acredita que milh\u00f5es de smartphones em todo o mundo ficaram vulner\u00e1veis \u200b\u200ba ataques devido ao uso do codec ALAC.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>A empresa de seguran\u00e7a estima que as falhas encontradas por seus pesquisadores referente as vulnerabilidades foram apelidadas <\/span><span>de ALHACK<\/span><span> e colocam em risco cerca de dois ter\u00e7os da privacidade dos usu\u00e1rios do Android.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span><span class=\"\">As vulnerabilidades podem ser acionadas usando arquivos de \u00e1udio especialmente criados e podem levar \u00e0 execu\u00e7\u00e3o remota de c\u00f3digo.<\/span><\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span><span class=\"\">\u201cO impacto de uma vulnerabilidade RCE pode variar desde a execu\u00e7\u00e3o de malware at\u00e9 um invasor obter controle sobre os dados multim\u00eddia de um usu\u00e1rio, incluindo streaming da c\u00e2mera de uma m\u00e1quina comprometida\u201d, explicou a Check Point em um post publicado na quinta-feira. <\/span>\u201cAl\u00e9m disso, um aplicativo Android sem privil\u00e9gios pode usar essas vulnerabilidades para aumentar seus privil\u00e9gios e obter acesso a dados de m\u00eddia e conversas de usu\u00e1rios.\u201d<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>As vulnerabilidades do MediaTek, corrigidas em dezembro de 2021, s\u00e3o identificadas como CVE-2021-0675 e CVE-2021-0674 e receberam classifica\u00e7\u00f5es de gravidade &#8220;alta&#8221; e &#8220;m\u00e9dia&#8221;. A Qualcomm tamb\u00e9m lan\u00e7ou patches em dezembro de 2021. A falha da Qualcomm \u00e9 rastreada como CVE-2021-30351 e recebeu uma classifica\u00e7\u00e3o de gravidade &#8220;cr\u00edtica&#8221;.<\/span><\/p>\n<p>\u00a0<\/p>\n<p><span>A Check Point planeja divulgar detalhes t\u00e9cnicos no pr\u00f3ximo m\u00eas na confer\u00eancia CanSecWest.<\/span><\/p>\n<p>\u00a0<\/p>\n<p>Este artigo \u00e9 uma tradu\u00e7\u00e3o de: <a href=\"https:\/\/www.securityweek.com\/audio-codec-made-apple-introduced-serious-vulnerabilities-millions-android-phones\" target=\"_blank\" rel=\"noopener\">https:\/\/www.securityweek.com\/audio-codec-made-apple-introduced-serious-vulnerabilities-millions-android-phones<\/a> (Autor: <span class=\"goog-text-highlight\">Eduard Kovacs<\/span>)<\/p>\n\n\n\n\n","protected":false},"excerpt":{"rendered":"<p>Codec de \u00e1udio feito pela Apple introduziu s\u00e9rias vulnerabilidades em milh\u00f5es de telefones Android \u00a0 Um codec de \u00e1udio de c\u00f3digo aberto desenvolvido pela Apple \u00e9 afetado por s\u00e9rias vulnerabilidades que foram enviadas para milh\u00f5es de dispositivos Android, por alguns dos maiores fabricantes de chipsets m\u00f3veis do mundo. \u00a0 O Apple Lossless Audio Codec (ALAC) [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":19281,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105,99],"tags":[],"class_list":["post-19280","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19280","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19280"}],"version-history":[{"count":4,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19280\/revisions"}],"predecessor-version":[{"id":19285,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19280\/revisions\/19285"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19281"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19280"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19280"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19280"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}