Forscher von Checkpoint haben drei Schwachstellen (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) in der Firmware von MediaTek DSP-Chips sowie eine Schwachstelle in der Audioverarbeitungsschicht MediaTek Audio HAL (CVE-2021-0673) identifiziert. XNUMX-XNUMX). Wenn die Schwachstellen erfolgreich ausgenutzt werden, kann ein Angreifer einen Benutzer von einer unprivilegierten Anwendung für die Android-Plattform aus belauschen.
Im Jahr 2021 entfallen auf MediaTek etwa 37 % der Lieferungen von Spezialchips für Smartphones und SoCs (anderen Daten zufolge betrug der Anteil von MediaTek unter den Herstellern von DSP-Chips für Smartphones im zweiten Quartal 2021 43 %). MediaTek-DSP-Chips kommen auch in Flaggschiff-Smartphones von Xiaomi, Oppo, Realme und Vivo zum Einsatz. MediaTek-Chips, die auf einem Mikroprozessor mit Tensilica
Beim Reverse Engineering der Firmware für MediaTek DSP-Chips auf Basis der FreeRTOS-Plattform wurden mehrere Möglichkeiten identifiziert, Code auf der Firmware-Seite auszuführen und die Kontrolle über Vorgänge im DSP zu erlangen, indem speziell gestaltete Anfragen von nicht privilegierten Anwendungen für die Android-Plattform gesendet werden. Praxisnahe Angriffsbeispiele wurden auf einem Xiaomi Redmi Note 9 5G Smartphone demonstriert, das mit einem MediaTek MT6853 (Dimensity 800U) SoC ausgestattet ist. Es wird darauf hingewiesen, dass OEMs bereits Korrekturen für die Schwachstellen im MediaTek-Firmware-Update vom Oktober erhalten haben.
Zu den Angriffen, die durch die Ausführung Ihres Codes auf der Firmware-Ebene des DSP-Chips ausgeführt werden können, gehören:
- Rechteausweitung und Sicherheitsumgehung – erfassen Sie heimlich Daten wie Fotos, Videos, Anrufaufzeichnungen, Mikrofondaten, GPS-Daten usw.
- Denial-of-Service und böswillige Aktionen – Blockierung des Zugriffs auf Informationen, Deaktivierung des Überhitzungsschutzes beim Schnellladen.
- Das Verbergen bösartiger Aktivitäten bedeutet die Schaffung völlig unsichtbarer und nicht entfernbarer bösartiger Komponenten, die auf Firmware-Ebene ausgeführt werden.
- Anbringen von Tags, um einen Benutzer zu verfolgen, z. B. das Hinzufügen diskreter Tags zu einem Bild oder Video, um dann festzustellen, ob die geposteten Daten mit dem Benutzer verknüpft sind.
Details zur Schwachstelle in MediaTek Audio HAL wurden noch nicht bekannt gegeben, aber die anderen drei Schwachstellen in der DSP-Firmware werden durch eine falsche Grenzüberprüfung bei der Verarbeitung von IPI-Nachrichten (Inter-Processor Interrupt) verursacht, die vom audio_ipi-Audiotreiber an den DSP gesendet werden. Diese Probleme ermöglichen es Ihnen, einen kontrollierten Pufferüberlauf in den von der Firmware bereitgestellten Handlern zu verursachen, bei dem Informationen über die Größe der übertragenen Daten einem Feld im IPI-Paket entnommen werden, ohne die tatsächliche Größe im gemeinsam genutzten Speicher zu überprüfen.
Um während der Experimente auf den Treiber zuzugreifen, wurden direkte ioctls-Aufrufe oder die Bibliothek /vendor/lib/hw/audio.primary.mt6853.so verwendet, die für normale Android-Anwendungen nicht verfügbar sind. Forscher haben jedoch eine Problemumgehung für das Senden von Befehlen gefunden, die auf der Verwendung von Debugging-Optionen basiert, die für Anwendungen von Drittanbietern verfügbar sind. Diese Parameter können geändert werden, indem der AudioManager-Android-Dienst aufgerufen wird, um die MediaTek Aurisys HAL-Bibliotheken (libfvaudio.so) anzugreifen, die Aufrufe zur Interaktion mit dem DSP bereitstellen. Um diese Problemumgehung zu blockieren, hat MediaTek die Möglichkeit entfernt, den Befehl PARAM_FILE über AudioManager zu verwenden.
Source: opennet.ru