Mae ymchwilwyr o Checkpoint wedi nodi tri gwendid (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) yng nghadarnwedd sglodion MediaTek DSP, yn ogystal Γ’ bregusrwydd yn haen prosesu sain MediaTek Audio HAL (CVE- 2021- 0673). Os caiff y gwendidau eu hecsbloetio'n llwyddiannus, gall ymosodwr glustfeinio ar ddefnyddiwr o raglen ddi-freintiedig ar gyfer platfform Android.
Yn 2021, mae MediaTek yn cyfrif am oddeutu 37% o'r llwythi o sglodion arbenigol ar gyfer ffonau smart a SoCs (yn Γ΄l data arall, yn ail chwarter 2021, cyfran MediaTek ymhlith gweithgynhyrchwyr sglodion DSP ar gyfer ffonau smart oedd 43%). Mae sglodion MediaTek DSP hefyd yn cael eu defnyddio mewn ffonau smart blaenllaw gan Xiaomi, Oppo, Realme a Vivo. Defnyddir sglodion MediaTek, sy'n seiliedig ar ficrobrosesydd gyda phensaernΓ―aeth Tensilica Xtensa, mewn ffonau smart i gyflawni gweithrediadau megis prosesu sain, delwedd a fideo, mewn cyfrifiadura ar gyfer systemau realiti estynedig, gweledigaeth gyfrifiadurol a dysgu peiriannau, yn ogystal Γ’ gweithredu modd codi tΓ’l cyflym.
Yn ystod peirianneg gwrthdroi cadarnwedd ar gyfer sglodion MediaTek DSP yn seiliedig ar lwyfan FreeRTOS, nodwyd sawl ffordd o weithredu cod ar ochr y firmware ac ennill rheolaeth dros weithrediadau yn y DSP trwy anfon ceisiadau wedi'u crefftio'n arbennig gan gymwysiadau difreintiedig ar gyfer y platfform Android. Dangoswyd enghreifftiau ymarferol o ymosodiadau ar ffΓ΄n clyfar Xiaomi Redmi Note 9 5G wedi'i gyfarparu Γ’ MediaTek MT6853 (Dimensity 800U) SoC. Nodir bod OEMs eisoes wedi derbyn atebion ar gyfer gwendidau yn y diweddariad cadarnwedd MediaTek ym mis Hydref.
Ymhlith yr ymosodiadau y gellir eu cynnal trwy weithredu'ch cod ar lefel firmware y sglodyn DSP:
- Dwysau braint a ffordd osgoi diogelwch - dal data yn llechwraidd fel lluniau, fideos, recordiadau galwadau, data meicroffon, data GPS, ac ati.
- Gwadu gwasanaeth a chamau maleisus - rhwystro mynediad at wybodaeth, analluogi amddiffyniad gorboethi yn ystod codi tΓ’l cyflym.
- Cuddio gweithgaredd maleisus yw creu cydrannau maleisus cwbl anweledig ac na ellir eu tynnu a weithredir ar lefel firmware.
- Atodi tagiau i olrhain defnyddiwr, fel ychwanegu tagiau cynnil at ddelwedd neu fideo i benderfynu wedyn a yw'r data a bostiwyd yn gysylltiedig Γ’'r defnyddiwr.
Nid yw manylion y bregusrwydd yn MediaTek Audio HAL wedi'u datgelu eto, ond mae'r tri bregusrwydd arall yn y firmware DSP yn cael eu hachosi gan wirio ffiniau anghywir wrth brosesu negeseuon IPI (Inter-Processor Interrupt) a anfonwyd gan y gyrrwr sain audio_ipi i'r DSP. Mae'r problemau hyn yn caniatΓ‘u ichi achosi gorlif byffer rheoledig mewn trinwyr a ddarperir gan y firmware, lle cymerwyd gwybodaeth am faint y data a drosglwyddwyd o faes y tu mewn i'r pecyn IPI, heb wirio'r maint gwirioneddol sydd wedi'i leoli mewn cof a rennir.
I gael mynediad i'r gyrrwr yn ystod yr arbrofion, defnyddiwyd galwadau ioctls uniongyrchol neu'r llyfrgell /vendor/lib/hw/audio.primary.mt6853.so, nad ydynt ar gael i gymwysiadau Android rheolaidd. Fodd bynnag, mae ymchwilwyr wedi dod o hyd i ateb ar gyfer anfon gorchmynion yn seiliedig ar y defnydd o opsiynau dadfygio sydd ar gael i gymwysiadau trydydd parti. Gellir newid y paramedrau hyn trwy ffonio gwasanaeth AudioManager Android i ymosod ar lyfrgelloedd MediaTek Aurisys HAL (libfvaudio.so), sy'n darparu galwadau i ryngweithio Γ’'r DSP. I rwystro'r ateb hwn, mae MediaTek wedi dileu'r gallu i ddefnyddio'r gorchymyn PARAM_FILE trwy AudioManager.
Ffynhonnell: opennet.ru