Ang mga tigdukiduki gikan sa Checkpoint nakaila sa tulo ka mga kahuyangan (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) sa firmware sa MediaTek DSP chips, ingon man usa ka kahuyang sa MediaTek Audio HAL audio processing layer (CVE- 2021-0673). Kung ang mga kahuyangan malampuson nga gipahimuslan, ang usa ka tig-atake mahimong maka-eavesdrop sa usa ka user gikan sa usa ka dili pribilihiyo nga aplikasyon alang sa Android platform.
Sa 2021, ang MediaTek nag-asoy sa gibana-bana nga 37% sa mga pagpadala sa mga espesyal nga chips alang sa mga smartphone ug SoCs (sumala sa ubang mga datos, sa ikaduhang quarter sa 2021, ang bahin sa MediaTek sa mga tiggama sa DSP chips alang sa mga smartphone maoy 43%). Ang mga chip sa MediaTek DSP gigamit usab sa mga punoan nga smartphone sa Xiaomi, Oppo, Realme ug Vivo. MediaTek chips, base sa usa ka microprocessor uban sa Tensilica Xtensa architecture, gigamit sa mga smartphones sa pagbuhat sa mga operasyon sama sa audio, larawan ug video processing, sa computing alang sa augmented reality system, computer vision ug machine learning, ingon man sa pagpatuman sa paspas nga pag-charge mode.
Atol sa reverse engineering sa firmware alang sa MediaTek DSP chips base sa FreeRTOS nga plataporma, daghang mga paagi ang giila aron mapatuman ang code sa firmware nga bahin ug makontrol ang mga operasyon sa DSP pinaagi sa pagpadala sa espesyal nga mga hangyo gikan sa walay pribilehiyo nga mga aplikasyon alang sa Android platform. Ang praktikal nga mga pananglitan sa mga pag-atake gipakita sa usa ka Xiaomi Redmi Note 9 5G nga smartphone nga adunay usa ka MediaTek MT6853 (Dimensity 800U) SoC. Namatikdan nga ang mga OEM nakadawat na og mga pag-ayo alang sa mga kahuyangan sa Oktubre MediaTek firmware update.
Lakip sa mga pag-atake nga mahimo pinaagi sa pagpatuman sa imong code sa lebel sa firmware sa DSP chip:
- Pag-uswag sa pribilehiyo ug pag-bypass sa seguridad - hilom nga pagkuha sa datos sama sa mga litrato, video, pagrekord sa tawag, data sa mikropono, data sa GPS, ug uban pa.
- Pagdumili sa serbisyo ug malisyosong mga aksyon - pagbabag sa pag-access sa impormasyon, pag-disable sa overheating nga proteksyon atol sa paspas nga pag-charge.
- Ang pagtago sa malisyoso nga kalihokan mao ang paghimo sa hingpit nga dili makita ug dili matangtang nga makadaot nga mga sangkap nga gipatuman sa lebel sa firmware.
- Pag-attach sa mga tag aron masubay ang usa ka user, sama sa pagdugang ug discreet nga mga tag sa usa ka imahe o video aron matino kung ang gi-post nga data na-link sa user.
Ang mga detalye sa pagkahuyang sa MediaTek Audio HAL wala pa gibutyag, apan ang ubang tulo ka mga kahuyangan sa DSP firmware tungod sa dili husto nga pagsusi sa utlanan sa pagproseso sa mga mensahe sa IPI (Inter-Processor Interrupt) nga gipadala sa audio_ipi audio driver ngadto sa DSP. Kini nga mga problema nagtugot kanimo sa paghimo sa usa ka kontrolado nga buffer overflow sa mga handler nga gihatag sa firmware, diin ang impormasyon mahitungod sa gidak-on sa gibalhin nga data gikuha gikan sa usa ka field sulod sa IPI packet, nga walay pagsusi sa aktwal nga gidak-on nga nahimutang sa shared memory.
Aron ma-access ang drayber sa panahon sa mga eksperimento, ang mga direktang ioctls nga tawag o ang /vendor/lib/hw/audio.primary.mt6853.so librarya, nga dili magamit sa regular nga mga aplikasyon sa Android, gigamit. Bisan pa, ang mga tigdukiduki nakakaplag usa ka solusyon alang sa pagpadala mga mando base sa paggamit sa mga kapilian sa pag-debug nga magamit sa mga aplikasyon sa ikatulo nga partido. Kini nga mga parameter mahimong usbon pinaagi sa pagtawag sa serbisyo sa AudioManager Android aron atakehon ang mga librarya sa MediaTek Aurisys HAL (libfvaudio.so), nga naghatag mga tawag aron makig-uban sa DSP. Aron babagan kini nga workaround, gitangtang sa MediaTek ang abilidad sa paggamit sa PARAM_FILE nga sugo pinaagi sa AudioManager.
Source: opennet.ru