Checkpointi teadlased on tuvastanud kolm haavatavust (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) MediaTek DSP kiipide püsivaras, samuti haavatavuse MediaTek Audio HAL helitöötluskihis (CVE- 2021- 0673). Turvaaukude eduka ärakasutamise korral võib ründaja kasutajat Android-platvormi privilegeerimata rakenduse kaudu pealt kuulata.
2021. aastal moodustab MediaTek ligikaudu 37% nutitelefonidele ja SoC-dele mõeldud spetsiaalsete kiipide saadetistest (teistel andmetel oli 2021. aasta teises kvartalis MediaTeki osakaal nutitelefonidele mõeldud DSP-kiipide tootjate seas 43%). MediaTeki DSP kiipe kasutavad ka Xiaomi, Oppo, Realme ja Vivo lipulaevade nutitelefonides. Tensilica Xtensa arhitektuuriga mikroprotsessoril põhinevaid MediaTeki kiipe kasutatakse nutitelefonides selliste toimingute tegemiseks nagu heli-, pildi- ja videotöötlus, liitreaalsussüsteemide andmetöötluses, arvutinägemises ja masinõppes, samuti kiirlaadimisrežiimi juurutamisel.
FreeRTOS-i platvormil põhinevate MediaTek DSP kiipide püsivara pöördprojekteerimise käigus tuvastati mitu võimalust püsivara poolel oleva koodi käivitamiseks ja DSP-s toimingute üle kontrolli saamiseks, saates Androidi platvormi jaoks privilegeerimata rakendustelt spetsiaalselt koostatud päringuid. Praktilisi näiteid rünnakutest demonstreeriti MediaTek MT9 (Dimensity 5U) SoC-ga varustatud Xiaomi Redmi Note 6853 800G nutitelefonil. Märgitakse, et originaalseadmete tootjad on juba saanud oktoobri MediaTeki püsivara värskenduse haavatavuste parandused.
Rünnakute hulgas, mida saab läbi viia, käivitades teie koodi DSP-kiibi püsivara tasemel:
- Privileegide suurendamine ja turvalisuse ümbersõit – jäädvustage vargsi andmeid, nagu fotod, videod, kõnesalvestised, mikrofoni andmed, GPS-andmed jne.
- Teenuse keelamine ja pahatahtlikud toimingud - teabele juurdepääsu blokeerimine, ülekuumenemiskaitse keelamine kiirlaadimise ajal.
- Pahatahtliku tegevuse peitmine on täiesti nähtamatute ja eemaldamatute pahatahtlike komponentide loomine, mis käivitatakse püsivara tasemel.
- Kasutaja jälgimiseks siltide lisamine, näiteks diskreetsete siltide lisamine pildile või videole, et teha kindlaks, kas postitatud andmed on kasutajaga seotud.
MediaTek Audio HAL-i haavatavuse üksikasju pole veel avalikustatud, kuid ülejäänud kolm DSP püsivara haavatavust on põhjustatud ebaõigest piirikontrollist audio_ipi helidraiveri poolt DSP-le saadetud IPI (Inter-Processor Interrupt) sõnumite töötlemisel. Need probleemid võimaldavad teil püsivara pakutavates töötlejates põhjustada kontrollitud puhvri ületäitumist, kus teave edastatud andmete suuruse kohta võeti IPI-paketi sees olevalt väljalt, kontrollimata ühismälus asuvat tegelikku suurust.
Eksperimentide ajal draiverile juurde pääsemiseks kasutati otseseid ioctls-i kõnesid või teeki /vendor/lib/hw/audio.primary.mt6853.so, mis pole tavalistele Androidi rakendustele saadaval. Teadlased on aga leidnud lahenduse käskude saatmiseks, mis põhinevad kolmandate osapoolte rakendustele saadaolevate silumisvalikute kasutamisel. Neid parameetreid saab muuta, helistades teenusele AudioManager Android, et rünnata MediaTek Aurisys HAL-i teeke (libfvaudio.so), mis pakuvad kõnesid DSP-ga suhtlemiseks. Selle lahenduse blokeerimiseks eemaldas MediaTek võimaluse kasutada AudioManageri kaudu käsku PARAM_FILE.
Allikas: opennet.ru