Checkpoint tədqiqatçıları MediaTek DSP çiplərinin mikroproqramında üç boşluq (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663), həmçinin MediaTek Audio HAL audio emal təbəqəsində (CVE-) boşluq aşkar ediblər. 2021- 0673). Zəifliklərdən uğurla istifadə edilərsə, təcavüzkar Android platforması üçün imtiyazsız proqramdan istifadəçini dinləyə bilər.
2021-ci ildə smartfonlar və SoC-lər üçün ixtisaslaşmış çiplərin tədarükünün təxminən 37%-i MediaTek-in payına düşür (digər məlumatlara görə, 2021-ci ilin ikinci rübündə MediaTek-in smartfonlar üçün DSP çipləri istehsalçıları arasında payı 43% təşkil edib). MediaTek DSP çipləri həmçinin Xiaomi, Oppo, Realme və Vivo tərəfindən flaqman smartfonlarda istifadə olunur. Tensilica Xtensa arxitekturasına malik mikroprosessor əsasında yaradılan MediaTek çipləri smartfonlarda audio, təsvir və video emalı kimi əməliyyatları yerinə yetirmək, əlavə reallıq sistemləri üçün hesablamalar, kompüter görmə və maşın öyrənmə, həmçinin sürətli enerji doldurma rejimini həyata keçirmək üçün istifadə olunur.
FreeRTOS platformasına əsaslanan MediaTek DSP çipləri üçün proqram təminatının tərs mühəndisliyi zamanı Android platforması üçün imtiyazsız tətbiqlərdən xüsusi hazırlanmış sorğular göndərməklə mikroproqram tərəfində kodu yerinə yetirmək və DSP-də əməliyyatlara nəzarət etmək üçün bir neçə yol müəyyən edilmişdir. Hücumların praktiki nümunələri MediaTek MT9 (Dimensity 5U) SoC ilə təchiz edilmiş Xiaomi Redmi Note 6853 800G smartfonunda nümayiş etdirilib. Qeyd olunur ki, OEM-lər artıq oktyabr ayında MediaTek proshivka yeniləməsindəki boşluqlar üçün düzəlişlər alıblar.
DSP çipinin proqram təminatı səviyyəsində kodunuzu icra etməklə həyata keçirilə biləcək hücumlar arasında:
- İmtiyazların artırılması və təhlükəsizlik keçidi - fotoşəkillər, videolar, zəng qeydləri, mikrofon məlumatları, GPS məlumatları və s. kimi məlumatları gizli şəkildə ələ keçirin.
- Xidmətdən imtina və zərərli hərəkətlər - məlumatlara girişin bloklanması, sürətli şarj zamanı həddindən artıq istiləşmədən qorunmanın aradan qaldırılması.
- Zərərli fəaliyyəti gizlətmək, proqram təminatı səviyyəsində icra edilən tamamilə görünməz və çıxarılmayan zərərli komponentlərin yaradılmasıdır.
- İstifadəçini izləmək üçün teqlərin əlavə edilməsi, məsələn, təsvirə və ya videoya təmkinli teqlər əlavə etmək, daha sonra yerləşdirilən məlumatların istifadəçi ilə əlaqələndirilməsini müəyyən etmək.
MediaTek Audio HAL-dakı zəifliyin təfərrüatları hələ açıqlanmayıb, lakin DSP mikroproqramındakı digər üç boşluq audio_ipi audio drayveri tərəfindən DSP-yə göndərilən IPI (Inter-Processor Interrupt) mesajlarını emal edərkən sərhədlərin səhv yoxlanılması nəticəsində yaranıb. Bu problemlər mikroproqram tərəfindən təmin edilən işləyicilərdə idarə olunan bufer daşmasına səbəb olmağa imkan verir ki, bu zaman ötürülən məlumatın ölçüsü haqqında məlumat paylaşılan yaddaşda yerləşən faktiki ölçü yoxlanılmadan IPI paketinin daxilindəki sahədən götürülüb.
Təcrübələr zamanı sürücüyə daxil olmaq üçün birbaşa ioctls zənglərindən və ya adi Android proqramlarında mövcud olmayan /vendor/lib/hw/audio.primary.mt6853.so kitabxanasından istifadə edilib. Bununla belə, tədqiqatçılar üçüncü tərəf proqramları üçün mövcud olan sazlama seçimlərindən istifadə əsasında əmrlərin göndərilməsi üçün müvəqqəti həll yolu tapıblar. Bu parametrləri DSP ilə qarşılıqlı əlaqə üçün zəngləri təmin edən MediaTek Aurisys HAL kitabxanalarına (libfvaudio.so) hücum etmək üçün AudioManager Android xidmətinə zəng etməklə dəyişdirilə bilər. Bu müvəqqəti həlli bloklamaq üçün MediaTek AudioManager vasitəsilə PARAM_FILE əmrindən istifadə etmək imkanını ləğv etdi.
Mənbə: opennet.ru