Checkpoint-eko ikertzaileek hiru ahultasun (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) identifikatu dituzte MediaTek DSP txip-en firmwarean, baita ahultasun bat MediaTek Audio HAL audio prozesatzeko geruzan (CVE-). 2021-0673). Ahultasunak arrakastaz ustiatzen badira, erasotzaile batek erabiltzaile bat entzun dezake Android plataformarako pribilegiorik gabeko aplikazio batetik.
2021ean, MediaTek-ek telefono adimendunetarako eta SoCetarako txip espezializatuen bidalketen % 37 inguru hartzen ditu (beste datu batzuen arabera, 2021eko bigarren hiruhilekoan, MediaTek-ek telefonoetarako DSP txip fabrikatzaileen artean izan zuen kuota % 43koa izan zen). MediaTek DSP txipak Xiaomi, Oppo, Realme eta Vivo-ren telefono adimendunetan ere erabiltzen dira. MediaTek txipak, Tensilica Xtensa arkitektura duen mikroprozesadore batean oinarrituta, telefono adimendunetan erabiltzen dira, hala nola, audioa, irudia eta bideoa prozesatzeko eragiketak egiteko, errealitate areagotuko sistemetarako informatiketan, ikusmen informatikoan eta ikaskuntza automatikoan, baita karga azkarreko modua ezartzeko ere.
FreeRTOS plataforman oinarritutako MediaTek DSP txipetarako firmwarearen alderantzizko ingeniaritzan zehar, hainbat modu identifikatu ziren firmware aldean kodea exekutatzeko eta DSPko eragiketen kontrola lortzeko, Android plataformarako pribilegiorik gabeko aplikazioetatik bereziki landutako eskaerak bidaliz. Erasoen adibide praktikoak MediaTek MT9 (Dimensity 5U) SoC batekin hornitutako Xiaomi Redmi Note 6853 800G smartphone batean frogatu ziren. Kontuan izan da OEMek dagoeneko jaso dituztela ahultasunen konponketak urriko MediaTek firmware eguneratzean.
Zure kodea DSP txiparen firmware mailan exekutatuta egin daitezkeen erasoen artean:
- Pribilegioen igoera eta segurtasun-saihespena - ezkutuan hartu datuak, hala nola argazkiak, bideoak, deien grabaketak, mikrofonoaren datuak, GPS datuak, etab.
- Zerbitzua ukatzea eta ekintza gaiztoak: informaziorako sarbidea blokeatzea, karga azkarrean berotzeko gehiegizko babesa desgaitzea.
- Jarduera gaiztoak ezkutatzea firmware mailan exekutatzen diren osagai gaizto guztiz ikusezinak eta kendu ezinak sortzea da.
- Erabiltzaile baten jarraipena egiteko etiketak eranstea, adibidez, irudi edo bideo bati etiketa diskretuak gehitzea, gero argitaratutako datuak erabiltzailearekin lotuta dauden ala ez zehazteko.
MediaTek Audio HAL-en ahultasunaren xehetasunak oraindik ez dira ezagutarazi, baina DSP firmwareko beste hiru ahulguneak audio_ipi audio kontrolatzaileak DSPra bidaltzen dituen IPI (Prozesadoreen arteko Etendura) mezuak prozesatzen dituen muga-egiaztapen okerrak eragiten ditu. Arazo hauei esker, firmwareak emandako kudeatzaileetan buffer gainezka kontrolatua sor daiteke, zeinetan transferitutako datuen tamainari buruzko informazioa IPI paketearen barruko eremu batetik hartzen zen, memoria partekatuan dagoen benetako tamaina egiaztatu gabe.
Esperimentuetan zehar kontrolatzailea sartzeko, ioctls deiak zuzenak edo /vendor/lib/hw/audio.primary.mt6853.so liburutegia erabili ziren, Android aplikazio arruntetarako erabilgarri ez daudenak. Hala ere, ikertzaileek hirugarrenen aplikazioek eskura dituzten arazketa-aukeren erabileran oinarritutako komandoak bidaltzeko konponbidea aurkitu dute. Parametro hauek AudioManager Android zerbitzura deituz alda daitezke MediaTek Aurisys HAL liburutegiei (libfvaudio.so) erasotzeko, DSParekin elkarreragiteko deiak ematen dituztenak. Konponbide hau blokeatzeko, MediaTek-ek PARAM_FILE komandoa AudioManager bidez erabiltzeko gaitasuna kendu du.
Iturria: opennet.ru