Un viejo error de código en un codec, el ALAC (Apple Lossless Audio Codec) que data de 2004 afecta a equipos que utilizan SoC de Qualcomm o MediaTek en Android.
Estos fabricantes habían utilizado un código abierto de 201 y no se había actualizado desde entonces.
La vulnerabilidad en particular era un out-of-bounds que permitía a un código remoto ejecutarse más allá del espacio de memoria del codec y escalar privilegios hacia el resto del acceso de medios y hasta el micrófono. Una aplicación maliciosa podría básicamente espiar libremente al usuario.
Esto afecta al 95% de los teléfonos del mercado en EEUU por ejemplo y no es muy distinto en el resto del mundo, este ataque puede ser prevenido en teléfonos con parches de seguridad más modernos que Diciembre de 2021, pero si tienen un equipo más viejo y ya abandonado por el fabricante, mala suerte. Otro hueco potencial.
Qualcomm y MediaTek ya le enviaron actualizaciones a Google para corregirlo en updates de Android y de ahí a todo el resto de los fabricantes, pero la aplicación del parche siempre queda en manos de estos últimos y, en ocasiones, a las empresas de telefonía.
