محققان Checkpoint سه آسیبپذیری (CVE-2021-0661، CVE-2021-0662، CVE-2021-0663) را در میانافزار تراشههای MediaTek DSP و همچنین یک آسیبپذیری در لایه پردازش صوتی MediaTek Audio HAL (CVE-) شناسایی کردهاند. 2021- 0673). اگر آسیبپذیریها با موفقیت مورد سوء استفاده قرار گیرند، مهاجم میتواند کاربر را از یک برنامه غیرمجاز برای پلتفرم اندروید استراق سمع کند.
در سال 2021، MediaTek تقریباً 37٪ از محموله های تراشه های تخصصی برای تلفن های هوشمند و SoC را به خود اختصاص داده است (طبق سایر داده ها، در سه ماهه دوم سال 2021، سهم MediaTek در بین تولید کنندگان تراشه های DSP برای تلفن های هوشمند 43٪ بود). تراشه های مدیاتک DSP نیز در گوشی های پرچمدار شیائومی، اوپو، ریلمی و ویوو استفاده می شوند. تراشه های مدیاتک، بر اساس یک ریزپردازنده با معماری Tensilica Xtensa، در گوشی های هوشمند برای انجام عملیات هایی مانند پردازش صدا، تصویر و ویدئو، در محاسبات سیستم های واقعیت افزوده، بینایی کامپیوتر و یادگیری ماشین و همچنین در اجرای حالت شارژ سریع استفاده می شوند.
در طول مهندسی معکوس میانافزار برای تراشههای مدیاتک DSP مبتنی بر پلتفرم FreeRTOS، راههای مختلفی برای اجرای کد در سمت سیستمافزار و به دست آوردن کنترل بر عملیات در DSP با ارسال درخواستهای ساختهشده خاص از برنامههای غیرمجاز برای پلتفرم اندروید شناسایی شد. نمونههای عملی حملات بر روی گوشی هوشمند شیائومی Redmi Note 9 5G مجهز به تراشه MediaTek MT6853 (Dimensity 800U) نشان داده شد. خاطرنشان می شود که OEM ها قبلاً رفع آسیب پذیری های موجود در به روز رسانی سیستم عامل مدیاتک اکتبر را دریافت کرده اند.
از جمله حملاتی که می توان با اجرای کد شما در سطح سیستم عامل تراشه DSP انجام داد:
- افزایش امتیاز و دور زدن امنیت - به طور مخفیانه داده هایی مانند عکس ها، فیلم ها، ضبط تماس ها، داده های میکروفون، داده های GPS و غیره را ضبط کنید.
- انکار خدمات و اقدامات مخرب - مسدود کردن دسترسی به اطلاعات، غیرفعال کردن حفاظت از گرمای بیش از حد در هنگام شارژ سریع.
- پنهان کردن فعالیت های مخرب ایجاد اجزای مخرب کاملاً نامرئی و غیرقابل حذف است که در سطح سیستم عامل اجرا می شوند.
- پیوست کردن برچسبها برای ردیابی کاربر، مانند افزودن برچسبهای محتاطانه به یک تصویر یا ویدیو برای تعیین اینکه آیا دادههای ارسال شده به کاربر مرتبط هستند یا خیر.
جزئیات آسیبپذیری در MediaTek Audio HAL هنوز فاش نشده است، اما سه آسیبپذیری دیگر در سیستم عامل DSP به دلیل بررسی نادرست مرز هنگام پردازش پیامهای IPI (وقفه بین پردازنده) ارسال شده توسط درایور صوتی audio_ipi به DSP ایجاد میشوند. این مشکلات به شما این امکان را می دهد که بدون بررسی اندازه واقعی موجود در حافظه مشترک، یک سرریز بافر کنترل شده در کنترل کننده های ارائه شده توسط سیستم عامل ایجاد کنید، که در آن اطلاعات مربوط به اندازه داده های منتقل شده از فیلدی در داخل بسته IPI گرفته شده است.
برای دسترسی به درایور در طول آزمایشها، از تماسهای مستقیم ioctls یا کتابخانه /vendor/lib/hw/audio.primary.mt6853.so که برای برنامههای معمولی اندروید در دسترس نیستند، استفاده شد. با این حال، محققان راهحلی برای ارسال دستورات بر اساس استفاده از گزینههای اشکال زدایی موجود برای برنامههای شخص ثالث پیدا کردهاند. این پارامترها را می توان با فراخوانی سرویس Android AudioManager برای حمله به کتابخانه های مدیاتک Aurisys HAL (libfvaudio.so)، که تماس هایی را برای تعامل با DSP ارائه می دهد، تغییر داد. برای جلوگیری از این راه حل، MediaTek توانایی استفاده از دستور PARAM_FILE را از طریق AudioManager حذف کرده است.
منبع: opennet.ru