Ερευνητές από το Checkpoint εντόπισαν τρία τρωτά σημεία (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) στο υλικολογισμικό των τσιπ MediaTek DSP, καθώς και μια ευπάθεια στο επίπεδο επεξεργασίας ήχου MediaTek Audio HAL (CVE- 2021- 0673). Εάν τα τρωτά σημεία εκμεταλλευτούν επιτυχώς, ένας εισβολέας μπορεί να κρυφακούει έναν χρήστη από μια μη προνομιούχα εφαρμογή για την πλατφόρμα Android.
Το 2021, η MediaTek αντιπροσωπεύει περίπου το 37% των αποστολών εξειδικευμένων τσιπ για smartphone και SoC (σύμφωνα με άλλα στοιχεία, το δεύτερο τρίμηνο του 2021, το μερίδιο της MediaTek μεταξύ των κατασκευαστών τσιπ DSP για smartphone ήταν 43%). Τα τσιπ MediaTek DSP χρησιμοποιούνται επίσης σε smartphones ναυαρχίδα των Xiaomi, Oppo, Realme και Vivo. Τα τσιπ MediaTek, βασισμένα σε μικροεπεξεργαστή με αρχιτεκτονική Tensilica Xtensa, χρησιμοποιούνται σε smartphone για την εκτέλεση λειτουργιών όπως επεξεργασία ήχου, εικόνας και βίντεο, υπολογιστές για συστήματα επαυξημένης πραγματικότητας, υπολογιστική όραση και μηχανική μάθηση, καθώς και στην εφαρμογή της λειτουργίας γρήγορης φόρτισης.
Κατά τη διάρκεια της αντίστροφης μηχανικής του υλικολογισμικού για τσιπ MediaTek DSP που βασίζονται στην πλατφόρμα FreeRTOS, εντοπίστηκαν διάφοροι τρόποι εκτέλεσης κώδικα από την πλευρά του υλικολογισμικού και απόκτησης ελέγχου των λειτουργιών στο DSP στέλνοντας ειδικά κατασκευασμένα αιτήματα από μη προνομιούχες εφαρμογές για την πλατφόρμα Android. Πρακτικά παραδείγματα επιθέσεων παρουσιάστηκαν σε ένα smartphone Xiaomi Redmi Note 9 5G εξοπλισμένο με MediaTek MT6853 (Dimensity 800U) SoC. Σημειώνεται ότι οι OEM έχουν ήδη λάβει διορθώσεις για τα τρωτά σημεία στην ενημέρωση υλικολογισμικού MediaTek Οκτωβρίου.
Μεταξύ των επιθέσεων που μπορούν να πραγματοποιηθούν με την εκτέλεση του κωδικού σας στο επίπεδο υλικολογισμικού του τσιπ DSP:
- Κλιμάκωση προνομίων και παράκαμψη ασφαλείας - καταγράψτε κρυφά δεδομένα όπως φωτογραφίες, βίντεο, εγγραφές κλήσεων, δεδομένα μικροφώνου, δεδομένα GPS κ.λπ.
- Άρνηση υπηρεσίας και κακόβουλες ενέργειες - αποκλεισμός πρόσβασης σε πληροφορίες, απενεργοποίηση της προστασίας από υπερθέρμανση κατά τη γρήγορη φόρτιση.
- Η απόκρυψη κακόβουλης δραστηριότητας είναι η δημιουργία εντελώς αόρατων και μη αφαιρούμενων κακόβουλων στοιχείων που εκτελούνται σε επίπεδο υλικολογισμικού.
- Επισύναψη ετικετών για την παρακολούθηση ενός χρήστη, όπως η προσθήκη διακριτικών ετικετών σε μια εικόνα ή ένα βίντεο για να προσδιοριστεί στη συνέχεια εάν τα δημοσιευμένα δεδομένα συνδέονται με τον χρήστη.
Λεπτομέρειες για την ευπάθεια στο MediaTek Audio HAL δεν έχουν ακόμη αποκαλυφθεί, αλλά οι άλλες τρεις ευπάθειες στο υλικολογισμικό DSP προκαλούνται από εσφαλμένο έλεγχο ορίων κατά την επεξεργασία μηνυμάτων IPI (Inter-Processor Interrupt) που αποστέλλονται από το πρόγραμμα οδήγησης ήχου audio_ipi στο DSP. Αυτά τα προβλήματα σάς επιτρέπουν να προκαλέσετε μια ελεγχόμενη υπερχείλιση buffer σε προγράμματα χειρισμού που παρέχονται από το υλικολογισμικό, στα οποία οι πληροφορίες σχετικά με το μέγεθος των μεταφερόμενων δεδομένων ελήφθησαν από ένα πεδίο μέσα στο πακέτο IPI, χωρίς έλεγχο του πραγματικού μεγέθους που βρίσκεται στην κοινόχρηστη μνήμη.
Για πρόσβαση στο πρόγραμμα οδήγησης κατά τη διάρκεια των πειραμάτων, χρησιμοποιήθηκαν άμεσες κλήσεις ioctls ή η βιβλιοθήκη /vendor/lib/hw/audio.primary.mt6853.so, τα οποία δεν είναι διαθέσιμα σε κανονικές εφαρμογές Android. Ωστόσο, οι ερευνητές βρήκαν μια λύση για την αποστολή εντολών με βάση τη χρήση επιλογών εντοπισμού σφαλμάτων που είναι διαθέσιμες σε εφαρμογές τρίτων. Αυτές οι παράμετροι μπορούν να αλλάξουν καλώντας την υπηρεσία AudioManager Android για να επιτεθεί στις βιβλιοθήκες MediaTek Aurisys HAL (libfvaudio.so), οι οποίες παρέχουν κλήσεις για αλληλεπίδραση με το DSP. Για να αποκλείσει αυτήν τη λύση, η MediaTek έχει αφαιρέσει τη δυνατότητα χρήσης της εντολής PARAM_FILE μέσω του AudioManager.
Πηγή: opennet.ru