Los investigadores de Checkpoint han identificado tres vulnerabilidades (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) en el firmware de los chips MediaTek DSP, así como una vulnerabilidad en la capa de procesamiento de audio HAL de MediaTek Audio (CVE- 2021-0673). Si las vulnerabilidades se explotan con éxito, un atacante puede espiar a un usuario desde una aplicación sin privilegios para la plataforma Android.
En 2021, MediaTek representa aproximadamente el 37% de los envíos de chips especializados para teléfonos inteligentes y SoC (según otros datos, en el segundo trimestre de 2021, la participación de MediaTek entre los fabricantes de chips DSP para teléfonos inteligentes fue del 43%). Los chips MediaTek DSP también se utilizan en los teléfonos inteligentes emblemáticos de Xiaomi, Oppo, Realme y Vivo. Los chips MediaTek, basados en un microprocesador con arquitectura Tensilica Xtensa, se utilizan en teléfonos inteligentes para realizar operaciones como procesamiento de audio, imágenes y video, en computación para sistemas de realidad aumentada, visión por computadora y aprendizaje automático, así como en la implementación del modo de carga rápida.
Durante la ingeniería inversa del firmware para chips MediaTek DSP basados en la plataforma FreeRTOS, se identificaron varias formas de ejecutar código en el lado del firmware y obtener control sobre las operaciones en el DSP mediante el envío de solicitudes especialmente diseñadas desde aplicaciones sin privilegios para la plataforma Android. Se demostraron ejemplos prácticos de ataques en un teléfono inteligente Xiaomi Redmi Note 9 5G equipado con un SoC MediaTek MT6853 (Dimensity 800U). Cabe señalar que los OEM ya recibieron correcciones para las vulnerabilidades en la actualización del firmware de MediaTek de octubre.
Entre los ataques que se pueden realizar ejecutando su código a nivel de firmware del chip DSP:
- Escalada de privilegios y elusión de seguridad: capture de forma sigilosa datos como fotos, vídeos, grabaciones de llamadas, datos de micrófono, datos de GPS, etc.
- Denegación de servicio y acciones maliciosas: bloquear el acceso a la información, desactivar la protección contra sobrecalentamiento durante la carga rápida.
- Ocultar actividad maliciosa es la creación de componentes maliciosos completamente invisibles e inamovibles ejecutados a nivel de firmware.
- Adjuntar etiquetas para rastrear a un usuario, como agregar etiquetas discretas a una imagen o video para luego determinar si los datos publicados están vinculados al usuario.
Los detalles de la vulnerabilidad en MediaTek Audio HAL aún no se han revelado, pero las otras tres vulnerabilidades en el firmware del DSP son causadas por una verificación incorrecta de los límites al procesar mensajes IPI (interrupción entre procesadores) enviados por el controlador de audio audio_ipi al DSP. Estos problemas permiten provocar un desbordamiento controlado del búfer en los controladores proporcionados por el firmware, en los que la información sobre el tamaño de los datos transferidos se tomó de un campo dentro del paquete IPI, sin verificar el tamaño real ubicado en la memoria compartida.
Para acceder al controlador durante los experimentos, se utilizaron llamadas directas ioctls o la biblioteca /vendor/lib/hw/audio.primary.mt6853.so, que no están disponibles para las aplicaciones normales de Android. Sin embargo, los investigadores han encontrado una solución para enviar comandos basándose en el uso de opciones de depuración disponibles para aplicaciones de terceros. Estos parámetros se pueden cambiar llamando al servicio AudioManager de Android para atacar las bibliotecas HAL de MediaTek Aurisys (libfvaudio.so), que proporcionan llamadas para interactuar con el DSP. Para bloquear esta solución, MediaTek eliminó la capacidad de usar el comando PARAM_FILE a través de AudioManager.
Fuente: opennet.ru