Esploristoj de Checkpoint identigis tri vundeblecojn (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) en la firmvaro de MediaTek DSP-fritoj, same kiel vundeblecon en la MediaTek Audio HAL audiopretigtavolo (CVE-). 2021- 0673). Se la vundeblecoj estas sukcese ekspluataj, atakanto povas subaŭskulti uzanton de senprivilegia aplikaĵo por la Android-platformo.
En 2021, MediaTek respondecas pri proksimume 37% de sendoj de specialigitaj blatoj por saĝtelefonoj kaj SoC-oj (laŭ aliaj datumoj, en la dua kvaronjaro de 2021, la parto de MediaTek inter produktantoj de DSP-fritoj por saĝtelefonoj estis 43%). MediaTek DSP-blatoj ankaŭ estas uzataj en ĉefpoŝtelefonoj de Xiaomi, Oppo, Realme kaj Vivo. MediaTek-fritoj, bazitaj sur mikroprocesoro kun Tensilica Xtensa-arkitekturo, estas uzataj en inteligentaj telefonoj por plenumi operaciojn kiel audio, bildo- kaj videopretigo, en komputado por pligrandigita realeca sistemoj, komputila vizio kaj maŝinlernado, same kiel en efektivigado de rapida ŝarga reĝimo.
Dum inversa inĝenierado de firmvaro por MediaTek DSP-fritoj bazitaj sur la FreeRTOS-platformo, pluraj manieroj estis identigitaj por efektivigi kodon sur la firmvarflanko kaj akiri kontrolon de operacioj en la DSP sendante speciale kreitajn petojn de senprivilegiaj aplikoj por la Android-platformo. Praktikaj ekzemploj de atakoj estis pruvitaj sur smartphone Xiaomi Redmi Note 9 5G ekipita per MediaTek MT6853 (Dimensity 800U) SoC. Oni rimarkas, ke OEM-oj jam ricevis korektojn por la vundeblecoj en la ĝisdatigo de la firmware MediaTek de oktobro.
Inter la atakoj, kiuj povas esti faritaj per ekzekuto de via kodo ĉe la firmvarnivelo de la DSP-peceto:
- Privilegia eskalado kaj sekureca preterpaso - kaŝe kaptu datumojn kiel fotojn, filmetojn, vokojn, mikrofonajn datumojn, GPSajn datumojn ktp.
- Neo de servo kaj malicaj agoj - blokante aliron al informoj, malŝaltante kontraŭvarmigan protekton dum rapida ŝarĝo.
- Kaŝi malican agadon estas la kreado de tute nevideblaj kaj neforigeblaj malicaj komponantoj ekzekutitaj ĉe la firmvarnivelo.
- Alkroĉi etikedojn por spuri uzanton, kiel aldoni diskretajn etikedojn al bildo aŭ video por tiam determini ĉu la afiŝitaj datumoj estas ligitaj al la uzanto.
Detaloj pri la vundebleco en MediaTek Audio HAL ankoraŭ ne estis malkaŝitaj, sed la aliaj tri vundeblecoj en la DSP-firmvaro estas kaŭzitaj de malĝusta limkontrolado dum prilaborado de mesaĝoj de IPI (Inter-Processor Interrupt) senditaj de la audio_ipi aŭd-ŝoforo al la DSP. Ĉi tiuj problemoj ebligas al vi kaŭzi kontrolitan bufran superfluon en pritraktiloj provizitaj de la firmvaro, en kiuj informoj pri la grandeco de la transdonitaj datumoj estis prenitaj de kampo ene de la IPI-pako, sen kontroli la realan grandecon situantan en komuna memoro.
Por aliri la ŝoforon dum la eksperimentoj, rektaj ioctls-vokoj aŭ la /vendor/lib/hw/audio.primary.mt6853.so biblioteko, kiuj ne estas disponeblaj por regulaj Android-aplikoj, estis uzitaj. Tamen, esploristoj trovis solvon por sendi komandojn bazitajn sur la uzo de sencimigaj elektoj disponeblaj al triapartaj aplikoj. Ĉi tiuj parametroj povas esti ŝanĝitaj vokante la AudioManager Android-servon por ataki la MediaTek Aurisys HAL-bibliotekojn (libfvaudio.so), kiuj provizas vokojn por interagi kun la DSP. Por bloki ĉi tiun solvon, MediaTek forigis la kapablon uzi la komandon PARAM_FILE per AudioManager.
fonto: opennet.ru