Уязвимост във фърмуера на MediaTek DSP чипове, използвани в много смартфони

Изследователи от Checkpoint са идентифицирали три уязвимости (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) във фърмуера на MediaTek DSP чиповете, както и уязвимост в слоя за аудио обработка на MediaTek Audio HAL (CVE- 2021- 0673). Ако уязвимостите се използват успешно, нападателят може да подслушва потребител от непривилегировано приложение за платформата Android.

През 2021 г. MediaTek представлява приблизително 37% от доставките на специализирани чипове за смартфони и SoC (според други данни през второто тримесечие на 2021 г. делът на MediaTek сред производителите на DSP чипове за смартфони е бил 43%). DSP чиповете на MediaTek се използват и във водещи смартфони от Xiaomi, Oppo, Realme и Vivo. Чиповете на MediaTek, базирани на микропроцесор с архитектура Tensilica Xtensa, се използват в смартфони за извършване на операции като обработка на аудио, изображения и видео, в компютри за системи с добавена реалност, компютърно зрение и машинно обучение, както и за прилагане на режим на бързо зареждане.

По време на обратното инженерство на фърмуера за MediaTek DSP чипове, базирани на платформата FreeRTOS, бяха идентифицирани няколко начина за изпълнение на код от страна на фърмуера и получаване на контрол върху операциите в DSP чрез изпращане на специално изработени заявки от непривилегировани приложения за платформата Android. Практически примери за атаки бяха демонстрирани на смартфон Xiaomi Redmi Note 9 5G, оборудван с MediaTek MT6853 (Dimensity 800U) SoC. Отбелязва се, че OEM производителите вече са получили корекции за уязвимостите в октомврийската актуализация на фърмуера на MediaTek.

Сред атаките, които могат да бъдат извършени чрез изпълнение на вашия код на ниво фърмуер на DSP чипа:

• Ескалация на привилегии и заобикаляне на сигурността - скрито заснемане на данни като снимки, видеоклипове, записи на разговори, данни от микрофона, GPS данни и др.
• Отказ от услуга и злонамерени действия - блокиране на достъпа до информация, деактивиране на защитата от прегряване по време на бързо зареждане.
• Скриването на злонамерена активност е създаването на напълно невидими и неотстраними злонамерени компоненти, изпълнявани на ниво фърмуер.
• Прикачване на тагове за проследяване на потребител, като добавяне на дискретни тагове към изображение или видеоклип, за да се определи дали публикуваните данни са свързани с потребителя.

Подробности за уязвимостта в MediaTek Audio HAL все още не са разкрити, но другите три уязвимости във фърмуера на DSP са причинени от неправилна проверка на границите при обработка на IPI (Inter-Processor Interrupt) съобщения, изпратени от audio_ipi аудио драйвера към DSP. Тези проблеми ви позволяват да предизвикате контролирано препълване на буфера в манипулатори, предоставени от фърмуера, при които информацията за размера на прехвърлените данни е взета от поле вътре в IPI пакета, без да се проверява действителният размер, намиращ се в споделената памет.

За достъп до драйвера по време на експериментите бяха използвани директни ioctl извиквания или библиотеката /vendor/lib/hw/audio.primary.mt6853.so, които не са достъпни за обикновените приложения за Android. Изследователите обаче са намерили заобиколно решение за изпращане на команди, базирано на използването на опции за отстраняване на грешки, достъпни за приложения на трети страни. Тези параметри могат да бъдат променени чрез извикване на услугата AudioManager Android за атака на HAL библиотеките на MediaTek Aurisys (libfvaudio.so), които предоставят повиквания за взаимодействие с DSP. За да блокира това решение, MediaTek премахна възможността за използване на командата PARAM_FILE чрез AudioManager.

Източник: opennet.ru