Forskere fra Checkpoint har identificeret tre sårbarheder (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) i firmwaren på MediaTek DSP-chips, samt en sårbarhed i MediaTek Audio HAL-lydbehandlingslaget (CVE- 2021-0673). Hvis sårbarhederne udnyttes med succes, kan en angriber aflytte en bruger fra en uprivilegeret applikation til Android-platformen.
I 2021 tegner MediaTek sig for cirka 37 % af forsendelserne af specialiserede chips til smartphones og SoC'er (ifølge andre data, i andet kvartal af 2021 var MediaTeks andel blandt producenter af DSP-chips til smartphones 43 %). MediaTek DSP-chips bruges også i flagskibssmartphones af Xiaomi, Oppo, Realme og Vivo. MediaTek-chips, der er baseret på en mikroprocessor med Tensilica Xtensa-arkitektur, bruges i smartphones til at udføre operationer såsom lyd-, billed- og videobehandling, i computing til augmented reality-systemer, computersyn og maskinlæring, samt til implementering af hurtig opladningstilstand.
Under reverse engineering af firmware til MediaTek DSP-chips baseret på FreeRTOS-platformen, blev der identificeret adskillige måder at eksekvere kode på firmwaresiden og få kontrol over operationer i DSP'en ved at sende specialfremstillede anmodninger fra uprivilegerede applikationer til Android-platformen. Praktiske eksempler på angreb blev demonstreret på en Xiaomi Redmi Note 9 5G smartphone udstyret med en MediaTek MT6853 (Dimensity 800U) SoC. Det bemærkes, at OEM'er allerede har modtaget rettelser til sårbarhederne i MediaTek-firmwareopdateringen fra oktober.
Blandt de angreb, der kan udføres ved at udføre din kode på DSP-chippens firmwareniveau:
- Privilegium-eskalering og sikkerhedsomgåelse - optag snigende data såsom fotos, videoer, opkaldsoptagelser, mikrofondata, GPS-data osv.
- Denial of service og ondsindede handlinger - blokering af adgang til information, deaktivering af overophedningsbeskyttelse under hurtig opladning.
- At skjule ondsindet aktivitet er oprettelsen af fuldstændig usynlige og ikke-aftagelige ondsindede komponenter, der udføres på firmwareniveau.
- Vedhæftning af tags for at spore en bruger, såsom tilføjelse af diskrete tags til et billede eller video for derefter at bestemme, om de udsendte data er knyttet til brugeren.
Detaljer om sårbarheden i MediaTek Audio HAL er endnu ikke blevet offentliggjort, men de tre andre sårbarheder i DSP-firmwaren er forårsaget af forkert grænsekontrol ved behandling af IPI-meddelelser (Inter-Processor Interrupt) sendt af audio_ipi-lyddriveren til DSP'en. Disse problemer giver dig mulighed for at forårsage et kontrolleret bufferoverløb i behandlere leveret af firmwaren, hvor information om størrelsen af de overførte data blev taget fra et felt inde i IPI-pakken, uden at kontrollere den faktiske størrelse placeret i delt hukommelse.
For at få adgang til driveren under eksperimenterne blev der brugt direkte ioctls-kald eller /vendor/lib/hw/audio.primary.mt6853.so-biblioteket, som ikke er tilgængelige for almindelige Android-applikationer. Forskere har dog fundet en løsning til at sende kommandoer baseret på brugen af fejlfindingsmuligheder, der er tilgængelige for tredjepartsapplikationer. Disse parametre kan ændres ved at kalde AudioManager Android-tjenesten for at angribe MediaTek Aurisys HAL-bibliotekerne (libfvaudio.so), som giver opkald til at interagere med DSP'en. For at blokere denne løsning har MediaTek fjernet muligheden for at bruge PARAM_FILE-kommandoen gennem AudioManager.
Kilde: opennet.ru