Istraživači iz Checkpoint-a su identifikovali tri ranjivosti (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) u firmveru MediaTek DSP čipova, kao i ranjivost u sloju za obradu zvuka MediaTek Audio HAL (CVE- 2021-0673). Ako se ranjivosti uspješno iskoriste, napadač može prisluškivati korisnika iz neprivilegirane aplikacije za Android platformu.
U 2021. godini na MediaTek otpada oko 37% isporuka specijalizovanih čipova za pametne telefone i SoC-ove (prema drugim podacima, u drugom kvartalu 2021. udio MediaTeka među proizvođačima DSP čipova za pametne telefone iznosio je 43%). MediaTek DSP čipovi se takođe koriste u vodećim pametnim telefonima kompanija Xiaomi, Oppo, Realme i Vivo. MediaTek čipovi, bazirani na mikroprocesoru sa Tensilica Xtensa arhitekturom, koriste se u pametnim telefonima za obavljanje operacija kao što su audio, slika i video obrada, u računarstvu za sisteme proširene stvarnosti, kompjuterski vid i mašinsko učenje, kao i za implementaciju režima brzog punjenja.
Tokom reverznog inženjeringa firmvera za MediaTek DSP čipove bazirane na FreeRTOS platformi, identifikovano je nekoliko načina za izvršavanje koda na strani firmvera i dobijanje kontrole nad operacijama u DSP-u slanjem posebno kreiranih zahteva od neprivilegovanih aplikacija za Android platformu. Praktični primjeri napada demonstrirani su na Xiaomi Redmi Note 9 5G pametnom telefonu opremljenom MediaTek MT6853 (Dimensity 800U) SoC-om. Napominje se da su OEM-ovi već primili ispravke za ranjivosti u oktobarskom ažuriranju firmvera MediaTek.
Među napadima koji se mogu izvesti izvršavanjem vašeg koda na nivou firmvera DSP čipa:
- Eskalacija privilegija i sigurnosna zaobilaženja - krišom snimite podatke kao što su fotografije, video zapisi, snimci poziva, podaci mikrofona, GPS podaci itd.
- Uskraćivanje usluge i zlonamjerne radnje - blokiranje pristupa informacijama, onemogućavanje zaštite od pregrijavanja tokom brzog punjenja.
- Skrivanje zlonamjerne aktivnosti je stvaranje potpuno nevidljivih i neuklonjivih zlonamjernih komponenti koje se izvršavaju na razini firmvera.
- Pričvršćivanje oznaka za praćenje korisnika, kao što je dodavanje diskretnih oznaka na sliku ili video kako bi se zatim utvrdilo da li su objavljeni podaci povezani s korisnikom.
Detalji o ranjivosti u MediaTek Audio HAL-u još nisu otkriveni, ali ostale tri ranjivosti u DSP firmveru su uzrokovane netačnom provjerom granica prilikom obrade IPI (Inter-Processor Interrupt) poruka koje audio_ipi audio drajver šalje DSP-u. Ovi problemi vam omogućavaju da izazovete kontrolisano prelivanje bafera u rukovaocima koje obezbeđuje firmver, u kojima su informacije o veličini prenetih podataka preuzete iz polja unutar IPI paketa, bez provere stvarne veličine koja se nalazi u deljenoj memoriji.
Za pristup drajveru tokom eksperimenata korišćeni su direktni ioctl pozivi ili biblioteka /vendor/lib/hw/audio.primary.mt6853.so, koji nisu dostupni redovnim Android aplikacijama. Međutim, istraživači su pronašli rješenje za slanje komandi na temelju korištenja opcija za otklanjanje grešaka koje su dostupne aplikacijama trećih strana. Ovi parametri se mogu promeniti pozivanjem usluge AudioManager Android za napad na MediaTek Aurisys HAL biblioteke (libfvaudio.so), koje pružaju pozive za interakciju sa DSP-om. Kako bi blokirao ovo rješenje, MediaTek je uklonio mogućnost korištenja naredbe PARAM_FILE putem AudioManagera.
izvor: opennet.ru