Els investigadors de Checkpoint han identificat tres vulnerabilitats (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) al microprogramari dels xips MediaTek DSP, així com una vulnerabilitat a la capa de processament d'àudio MediaTek Audio HAL (CVE-). 2021-0673). Si les vulnerabilitats s'exploten amb èxit, un atacant pot escoltar un usuari des d'una aplicació sense privilegis per a la plataforma Android.
El 2021, MediaTek representa aproximadament el 37% dels enviaments de xips especialitzats per a telèfons intel·ligents i SoC (segons altres dades, en el segon trimestre del 2021, la quota de MediaTek entre els fabricants de xips DSP per a telèfons intel·ligents va ser del 43%). Els xips MediaTek DSP també s'utilitzen en els telèfons intel·ligents emblemàtics de Xiaomi, Oppo, Realme i Vivo. Els xips MediaTek, basats en un microprocessador amb arquitectura Tensilica Xtensa, s'utilitzen als telèfons intel·ligents per realitzar operacions com el processament d'àudio, imatge i vídeo, en informàtica per a sistemes de realitat augmentada, visió per ordinador i aprenentatge automàtic, així com en la implementació del mode de càrrega ràpida.
Durant l'enginyeria inversa del microprogramari per als xips MediaTek DSP basats en la plataforma FreeRTOS, es van identificar diverses maneres d'executar codi al costat del microprogramari i obtenir el control de les operacions al DSP enviant sol·licituds especialment dissenyades des d'aplicacions sense privilegis per a la plataforma Android. Es van demostrar exemples pràctics d'atacs en un telèfon intel·ligent Xiaomi Redmi Note 9 5G equipat amb un SoC MediaTek MT6853 (Dimensity 800U). Cal assenyalar que els OEM ja han rebut correccions per a les vulnerabilitats de l'actualització del microprogramari MediaTek d'octubre.
Entre els atacs que es poden dur a terme executant el vostre codi a nivell de microprogramari del xip DSP:
- Escalada de privilegis i bypass de seguretat: captura de forma sigilosa dades com ara fotos, vídeos, enregistraments de trucades, dades de micròfons, dades de GPS, etc.
- Denegació de servei i accions malicioses: bloqueig de l'accés a la informació, desactivació de la protecció contra el sobreescalfament durant la càrrega ràpida.
- Amagar l'activitat maliciosa és la creació de components maliciosos completament invisibles i irremovibles executats a nivell de microprogramari.
- Adjuntar etiquetes per fer el seguiment d'un usuari, com ara afegir etiquetes discretes a una imatge o un vídeo per determinar si les dades publicades estan vinculades a l'usuari.
Encara no s'han revelat els detalls de la vulnerabilitat de MediaTek Audio HAL, però les altres tres vulnerabilitats del microprogramari DSP són causades per una comprovació incorrecta dels límits quan es processen els missatges IPI (Inter-Processor Interrupt) enviats pel controlador d'àudio audio_ipi al DSP. Aquests problemes permeten provocar un desbordament controlat de la memòria intermèdia en els controladors proporcionats pel microprogramari, en què la informació sobre la mida de les dades transferides es va extreure d'un camp dins del paquet IPI, sense comprovar la mida real situada a la memòria compartida.
Per accedir al controlador durant els experiments, es van utilitzar trucades directes ioctls o la biblioteca /vendor/lib/hw/audio.primary.mt6853.so, que no estan disponibles per a les aplicacions habituals d'Android. Tanmateix, els investigadors han trobat una solució alternativa per enviar ordres basades en l'ús d'opcions de depuració disponibles per a aplicacions de tercers. Aquests paràmetres es poden canviar trucant al servei d'Android AudioManager per atacar les biblioteques HAL de MediaTek Aurisys (libfvaudio.so), que proporcionen trucades per interactuar amb el DSP. Per bloquejar aquesta solució alternativa, MediaTek ha eliminat la possibilitat d'utilitzar l'ordre PARAM_FILE mitjançant AudioManager.
Font: opennet.ru