Даследнікі з кампаніі Сheckpoint выявілі тры ўразлівасці (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) у прашыўках DSP-чыпаў кампаніі MediaTek, а таксама ўразлівасць у праслойцы для апрацоўкі гуку MediaTek Audio HAL-C 2021). У выпадку паспяховай эксплуатацыі ўразлівасцяў атакавалы можа арганізаваць падслухоўванне за карыстачом з непрывілеяванага прыкладання для платформы Android.
У 2021 году на кампанію MediaTek прыходзіцца прыкладна 37% паставак спецыялізаваных чыпаў для смартфонаў і SoC (па іншых дадзеных у другім квартале 2021 гады дзель MediaTek сярод вытворцаў DSP-чыпаў для смартфонаў складала 43%). У тым ліку DSP-чыпы MediaTek выкарыстоўваюцца ў флагманскіх смартфонах кампаніяй Xiaomi, Oppo, Realme і Vivo. Чыпы MediaTek, заснаваныя на мікрапрацэсары з архітэктурай Tensilica Xtensa, выкарыстоўваюцца ў смартфонах для здзяйснення такіх аперацый як апрацоўка гуку, малюнкаў і відэа, у вылічэннях для сістэм дапоўненай рэальнасці, кампутарнага зроку і машыннага навучання, а таксама ў рэалізацыі рэжыму хуткай зарадкі.
Падчас зваротнага інжынірынгу прашывак для DSP-чыпаў MediaTek, заснаваных на платформе FreeRTOS, было выяўлена некалькі спосабаў выканання кода на боку прашыўкі і атрыманні кантролю над аперацыямі ў DSP праз адпраўку спецыяльна аформленых запытаў з непрывілеяваных прыкладанняў для платформы Android. Практычныя прыклады нападаў прадэманстраваны на смартфоне Xiaomi Redmi Note 9 5G, абсталяваным SoC MediaTek MT6853 (Dimensity 800U). Адзначаецца, што OEM-вытворцы ўжо атрымалі выпраўленні ўразлівасцяў у кастрычніцкім абнаўленні прашывак MediaTek.
Сярод нападаў, якія можна правесці, выканаўшы свой код на ўзроўні прашыўкі DSP-чыпа:
- Павышэнне прывілеяў і абыход сістэмы размежавання доступу - незаўважны захоп дадзеных, такіх як фатаграфіі, відэа, запісы званкоў, дадзеныя з мікрафона, GPS і да т.п.
- Адмова ў абслугоўванні і здзяйсненне шкоднасных дзеянняў - блакаванне доступу да інфармацыі, адключэнне абароны ад перагрэву пры хуткай зарадцы.
- Утойванне шкоднаснай актыўнасці - стварэнне цалкам незаўважных і невыдаляльных шкоднасных кампанентаў, выкананых на ўзроўні прашыўкі.
- Прымацаванне пазнак для сачэння за карыстальнікам, напрыклад, даданне незаўважных пазнак да выявы або відэа для наступнага вызначэння сувязі апублікаваных дадзеных з карыстальнікам.
Дэталі ўразлівасці ў MediaTek Audio HAL пакуль не расчыняюцца, але тры астатнія ўразлівасці ў прашыўцы DSP выкліканыя некарэктнай праверкай меж пры апрацоўцы IPI-паведамленняў (Inter-Processor Interrupt), якія накіроўваюцца гукавым драйверам audio_ipi да DSP. Паказаныя праблемы дазваляюць выклікаць кантраляванае перапаўненне буфера ў якія прадстаўляюцца прашыўкай апрацоўшчыках, у якіх звесткі аб памеры перадаваных дадзеных браліся з поля ўсярэдзіне пакета IPI, без праверкі фактычнага памеру, размешчанага ў падзялянай памяці.
Для звароту да драйвера падчас эксперыментаў выкарыстоўваліся прамыя ioctls-выклікі ці бібліятэка /vendor/lib/hw/audio.primary.mt6853.so, якія недаступныя звычайным Android-прыкладанням. Тым не менш, даследнікі знайшлі абыходны шлях адпраўкі каманд, заснаваны на выкарыстанні адладкавых параметраў, даступных іншым прыкладанням. Указаныя параметры могуць змяняцца праз зварот да Android-сэрвісу AudioManager для нападу на бібліятэкі MediaTek Aurisys HAL (libfvaudio.so), якія прадстаўляюць выклікі для ўзаемадзеяння з DSP. Для блакавання дадзенага абыходнага метаду кампанія MediaTek выдаліла магчымасць выкарыстання каманды PARAM_FILE праз AudioManager.
Крыніца: opennet.ru