Navorsers van Checkpoint het drie kwesbaarhede (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) in die firmware van MediaTek DSP-skyfies geïdentifiseer, sowel as 'n kwesbaarheid in die MediaTek Audio HAL-klankverwerkingslaag (CVE- 2021-0673). As die kwesbaarhede suksesvol uitgebuit word, kan 'n aanvaller 'n gebruiker afluister vanaf 'n onbevoorregte toepassing vir die Android-platform.
In 2021 is MediaTek verantwoordelik vir ongeveer 37% van die verskepings van gespesialiseerde skyfies vir slimfone en SoC's (volgens ander data was MediaTek se aandeel in die tweede kwartaal van 2021 onder vervaardigers van DSP-skyfies vir slimfone 43%). MediaTek DSP-skyfies word ook in vlagskip-slimfone deur Xiaomi, Oppo, Realme en Vivo gebruik. MediaTek-skyfies, gebaseer op 'n mikroverwerker met Tensilica Xtensa-argitektuur, word in slimfone gebruik om bewerkings uit te voer soos oudio-, beeld- en videoverwerking, in rekenaars vir verhoogde werklikheidstelsels, rekenaarvisie en masjienleer, sowel as in die implementering van vinnige laaimodus.
Tydens omgekeerde ingenieurswese van fermware vir MediaTek DSP-skyfies gebaseer op die FreeRTOS-platform, is verskeie maniere geïdentifiseer om kode aan die firmware-kant uit te voer en beheer oor bedrywighede in die ADV te verkry deur spesiaal vervaardigde versoeke van onbevoorregte toepassings vir die Android-platform te stuur. Praktiese voorbeelde van aanvalle is gedemonstreer op 'n Xiaomi Redmi Note 9 5G-slimfoon toegerus met 'n MediaTek MT6853 (Dimensity 800U) SoC. Daar word kennis geneem dat OEM's reeds regstellings vir die kwesbaarhede in die Oktober MediaTek-firmware-opdatering ontvang het.
Onder die aanvalle wat uitgevoer kan word deur u kode op die firmwarevlak van die DSP-skyfie uit te voer:
- Voorregte-eskalasie en sekuriteitsomleiding - neem data soos foto's, video's, oproepopnames, mikrofoondata, GPS-data, ens.
- Ontkenning van diens en kwaadwillige aksies - blokkeer toegang tot inligting, deaktiveer oorverhittingsbeskerming tydens vinnige laai.
- Om kwaadwillige aktiwiteite te verberg, is die skepping van heeltemal onsigbare en onverwyderbare kwaadwillige komponente wat op die firmwarevlak uitgevoer word.
- Die heg van merkers om 'n gebruiker na te spoor, soos om diskrete merkers by 'n prent of video te voeg om dan te bepaal of die geplaasde data aan die gebruiker gekoppel is.
Besonderhede van die kwesbaarheid in MediaTek Audio HAL is nog nie bekend gemaak nie, maar die ander drie kwesbaarhede in die DSP-firmware word veroorsaak deur verkeerde grenskontrolering wanneer IPI (Inter-Processor Interrupt) boodskappe verwerk word wat deur die audio_ipi klankbestuurder na die DSP gestuur word. Hierdie probleme laat jou toe om 'n beheerde buffer-oorloop te veroorsaak in hanteerders wat deur die firmware verskaf word, waarin inligting oor die grootte van die oorgedra data geneem is uit 'n veld binne die IPI-pakkie, sonder om die werklike grootte in die gedeelde geheue na te gaan.
Om toegang tot die drywer tydens die eksperimente te verkry, is direkte ioctls-oproepe of die /vendor/lib/hw/audio.primary.mt6853.so-biblioteek, wat nie vir gewone Android-toepassings beskikbaar is nie, gebruik. Navorsers het egter 'n oplossing gevind vir die stuur van opdragte gebaseer op die gebruik van ontfoutingsopsies wat beskikbaar is vir derdeparty-toepassings. Hierdie parameters kan verander word deur die AudioManager Android-diens te skakel om die MediaTek Aurisys HAL-biblioteke (libfvaudio.so) aan te val, wat oproepe verskaf om met die ADV te kommunikeer. Om hierdie oplossing te blokkeer, het MediaTek die vermoë verwyder om die PARAM_FILE-opdrag deur AudioManager te gebruik.
Bron: opennet.ru