Una vulnerabilidad en el chip del 37 % de los smartphones podría derivar en espionaje

Prácticamente 4 de cada 10 smartphones que existen en el mundo se encuentran en riesgo de sufrir un ataque de ciberdelincuencia si no se aplican las medidas de seguridad correspondiente.

Los investigadores de Check Point Research han encontrado una serie fallos en un chip del procesador de MediaTek que alimenta al 37 % de los teléfonos inteligentes. El problema se encuentra concretamente en su procesador digital de señales de audio.

Check Point realizó un proceso de ingeniería inversa y encontró vulnerabilidades en el firmware DSP (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) que ya han sido subsanadas por MediaTek en su boletín de octubre. Mientras, la corrección para un problema en la HAL de audio (CVE-2021-0673) se publicará en el boletín previsto para diciembre.

MediaTek ha puesto medidas de mitigación a disposición de los fabricantes de dispositivos que utilizan su tecnología, como Xiaomi, OPPO, realme y vivo.

Aunque no hay evidencias de que estos fallos se estén explotando en la actualidad, sí que parece claro que, si no se aplican los parches, existe la posibilidad de espiar a usuarios de terminales Android y esconder código malicioso en estos dispositivos.

Para ello, bastaría con instalar una aplicación con malware capaz de usar la API de MediaTek para atacar una librería con permisos y así hablar con el driver de audio. Esta app se encargaría de enviar mensajes falsos al controlador para ejecutar código y apropiarse del flujo de audio.

“MediaTek es el chip más popular para los dispositivos móviles. Dada su omnipresencia en el mundo, empezamos a sospechar que podría utilizarse como vector de ataque”, explica Slava Makkaveev, investigador de seguridad de Check Point Software. “Nos embarcamos en una investigación sobre esta tecnología, que nos llevó a descubrir una cadena de vulnerabilidades que potencialmente podrían utilizarse para alcanzar y atacar el procesador de audio del chip desde una aplicación Android“.

“De no solucionarse, un atacante podría explotar las vulnerabilidades para escuchar las conversaciones de los usuarios de Android”, dice Makkaveev. “Además, estos fallos podrían utilizarse por los propios fabricantes de dispositivos para crear una campaña de escuchas masivas“.

“Nuestro mensaje a la comunidad Android es que actualicen sus dispositivos con el último parche de seguridad para estar protegidos”, aconseja este experto.

Mónica Tilves

Licenciada en Xornalismo por la Universidad de Santiago de Compostela en la especialidad de Periodismo Electrónico y Multimedia. Apasionada de los gadgets, la fotografía digital, el diseño web y el arte. Tras un primer contacto con el mundo de la prensa escrita y con la suficiencia investigadora debajo del brazo, me decanto por los medios online. Cubro la actualidad informativa en Silicon Week desde 2011, además de colaborar en otras publicaciones del grupo NetMediaEurope en España como Silicon News. Ahora en Silicon.es.

Recent Posts

Salesforce lanza Agentforce 2.0: la plataforma de trabajo digital impulsada por agentes de IA autónomos

Salesforce presenta Agentforce 2.0, la plataforma digital que transforma el trabajo empresarial con agentes de…

3 horas ago

@aslan prepara un plan de divulgación sobre tendencias tecnológicas para 2025

Estas tendencias giran en torno a la resiliencia de los datos, la ciberseguridad, el puesto…

3 horas ago

Linda, de Bewe software, una asistente de IA para optimizar pymes en LATAM y España

Linda, el innovador asistente de IA desarrollado por Bewe Software, ha sido galardonado como Caso…

4 horas ago

Sandisk renueva su identidad corporativa

Bajo el lema Mindset of Motion, defiende que las personas puedan experimentar el potencial de…

5 horas ago

El próximo smartphone de OnePlus ya tiene fecha de salida: el 7 de enero

Será el primer terminal OnePlus con doble certificación IP68 e IP69.

5 horas ago

Mate X6, el nuevo móvil plegable de HUAWEI

HUAWEI introduce también la serie de teléfonos móviles Nova 13 y los auriculares FreeClip y…

6 horas ago