in

Los investigadores encuentran una falla de seguridad que afecta al 37% de los teléfonos inteligentes

00Lkgj6t7KlZg77EbPg5B0R 1.fit lim.size 1200x630.v1637768404

Check Point Research (CPR) ha revelado una vulnerabilidad en el procesador de señal digital de audio (DSP) utilizado en las ofertas de sistema en chip de MediaTek, que se encuentran en aproximadamente el 37% de todos los teléfonos inteligentes y dispositivos de Internet de las cosas.

El error se puede aprovechar para escuchar a los usuarios desprevenidos de Android. Los investigadores dicen que encontraron tres vulnerabilidades (CVE-2021-0661, CVE-2021-0662 y CVE-2021-0663) en el firmware DSP y una vulnerabilidad (CVE-2021-0673) en la capa de abstracción de hardware de audio. MediaTek lanzó parches para todas las fallas de seguridad en octubre.

«Un atacante podría utilizar un mensaje entre procesadores con formato incorrecto para ejecutar y ocultar código malicioso dentro del firmware DSP», dice CPR. «Dado que el firmware del DSP tiene acceso al flujo de datos de audio, un ataque al DSP podría potencialmente usarse para espiar al usuario».

Los investigadores dicen que esas fallas podrían estar encadenadas con vulnerabilidades en las bibliotecas de los fabricantes de equipos originales (OEM) para permitir la escalada de privilegios locales desde una aplicación de Android. Esa escalada de privilegios significa que la aplicación «puede enviar mensajes al firmware DSP de audio».

CPR dice que creó un exploit de prueba de concepto para estas vulnerabilidades en un teléfono inteligente Xiaomi Redmi Note 9 5G con MIUI Global 12.5.2.0 (que se basa en una versión de Android 11) en un chipset MT6853 (Dimensity 800U), pero lo retuvo prueba de concepto «por razones éticas».

Recomendado por nuestros editores

Otros dispositivos vulnerables incluyen «teléfonos de gama alta de Xiaomi, Oppo, Realme, Vivo y más», dice CPR. MediaTek reveló las fallas en el firmware DSP en un boletín de seguridad de MediaTek de octubre de 2021; Los detalles sobre la falla de HAL se publicarán en diciembre.

¿Te gusta lo que estás leyendo?

Matricularse en Vigilancia de seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad entregadas directamente en su bandeja de entrada.

Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines informativos en cualquier momento.

fbq('init', '454758778052139'); fbq('track', "PageView"); } }