Výzkumníci z Checkpointu identifikovali tři zranitelnosti (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) ve firmwaru čipů MediaTek DSP a také zranitelnost ve vrstvě zpracování zvuku MediaTek Audio HAL (CVE- 2021-0673). Pokud jsou zranitelnosti úspěšně zneužity, může útočník odposlouchávat uživatele z neprivilegované aplikace pro platformu Android.
V roce 2021 tvoří MediaTek přibližně 37 % dodávek specializovaných čipů pro smartphony a SoC (podle jiných údajů byl ve druhém čtvrtletí roku 2021 podíl MediaTeku mezi výrobci DSP čipů pro smartphony 43 %). Čipy MediaTek DSP jsou také používány ve vlajkových smartphonech společností Xiaomi, Oppo, Realme a Vivo. Čipy MediaTek, založené na mikroprocesoru s architekturou Tensilica Xtensa, se používají v chytrých telefonech k provádění operací, jako je zpracování zvuku, obrazu a videa, ve výpočetní technice pro systémy rozšířené reality, počítačové vidění a strojové učení a také při implementaci režimu rychlého nabíjení.
Během reverzního inženýrství firmwaru pro čipy MediaTek DSP založené na platformě FreeRTOS bylo identifikováno několik způsobů, jak spustit kód na straně firmwaru a získat kontrolu nad operacemi v DSP odesíláním speciálně vytvořených požadavků z neprivilegovaných aplikací pro platformu Android. Praktické příklady útoků byly demonstrovány na smartphonu Xiaomi Redmi Note 9 5G vybaveném MediaTek MT6853 (Dimensity 800U) SoC. Je třeba poznamenat, že výrobci OEM již obdrželi opravy zranitelností v říjnové aktualizaci firmwaru MediaTek.
Mezi útoky, které lze provést spuštěním vašeho kódu na úrovni firmwaru čipu DSP:
- Eskalace privilegií a obcházení zabezpečení – tajně zachycujte data, jako jsou fotografie, videa, nahrávky hovorů, data z mikrofonu, data GPS atd.
- Denial of service a škodlivé akce - blokování přístupu k informacím, deaktivace ochrany proti přehřátí během rychlého nabíjení.
- Skrytí škodlivé aktivity je vytvoření zcela neviditelných a neodstranitelných škodlivých komponent prováděných na úrovni firmwaru.
- Připojování štítků ke sledování uživatele, jako je přidávání diskrétních štítků k obrázku nebo videu, které pak určí, zda jsou zveřejněná data propojena s uživatelem.
Podrobnosti o zranitelnosti v MediaTek Audio HAL ještě nebyly zveřejněny, ale další tři zranitelnosti ve firmwaru DSP jsou způsobeny nesprávnou kontrolou hranic při zpracování zpráv IPI (Inter-Processor Interrupt) odeslaných zvukovým ovladačem audio_ipi do DSP. Tyto problémy umožňují způsobit řízené přetečení vyrovnávací paměti v obslužných rutinách poskytovaných firmwarem, ve kterých byla informace o velikosti přenášených dat převzata z pole uvnitř paketu IPI, aniž by bylo nutné kontrolovat skutečnou velikost umístěnou ve sdílené paměti.
Pro přístup k ovladači během experimentů byla použita přímá volání ioctls nebo knihovna /vendor/lib/hw/audio.primary.mt6853.so, které nejsou dostupné běžným aplikacím pro Android. Výzkumníci však našli řešení pro odesílání příkazů založené na použití možností ladění dostupných aplikacím třetích stran. Tyto parametry lze změnit voláním služby AudioManager Android k útoku na knihovny MediaTek Aurisys HAL (libfvaudio.so), které poskytují volání pro interakci s DSP. Aby MediaTek toto zástupné řešení zablokoval, odebral možnost používat příkaz PARAM_FILE prostřednictvím AudioManager.
Zdroj: opennet.ru