Checkpointin tutkijat ovat tunnistaneet kolme haavoittuvuutta (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) MediaTek DSP -sirujen laiteohjelmistossa sekä haavoittuvuuden MediaTek Audio HAL -äänenkäsittelykerroksessa (CVE- 2021-0673). Jos haavoittuvuuksia hyödynnetään onnistuneesti, hyökkääjä voi salakuunnella käyttäjää Android-alustan etuoikeutetusta sovelluksesta.
Vuonna 2021 MediaTekin osuus älypuhelimiin ja SoC:ihin erikoistuneiden sirujen toimituksista oli noin 37 % (muiden tietojen mukaan vuoden 2021 toisella neljänneksellä MediaTekin osuus älypuhelimien DSP-sirujen valmistajista oli 43 %). MediaTek DSP -siruja käyttävät myös Xiaomin, Oppon, Realmen ja Vivon lippulaiva-älypuhelimissa. Tensilica Xtensa -arkkitehtuurilla varustettuun mikroprosessoriin perustuvia MediaTek-siruja käytetään älypuhelimissa suorittamaan operaatioita, kuten äänen, kuvan ja videon käsittelyä, lisätyn todellisuuden järjestelmien laskennassa, tietokonenäössä ja koneoppimisessa sekä pikalataustilan toteuttamisessa.
FreeRTOS-alustaan perustuvien MediaTek DSP -sirujen laiteohjelmiston käänteisen suunnittelun aikana tunnistettiin useita tapoja suorittaa koodia laiteohjelmistopuolella ja hallita DSP:n toimintoja lähettämällä erityisesti muotoiltuja pyyntöjä etuoikeutetuilta sovelluksilta Android-alustalle. Käytännön esimerkkejä hyökkäyksistä esiteltiin Xiaomi Redmi Note 9 5G -älypuhelimella, joka oli varustettu MediaTek MT6853 (Dimensity 800U) SoC:llä. On huomattava, että OEM-valmistajat ovat jo saaneet korjauksia lokakuun MediaTekin laiteohjelmistopäivityksen haavoittuvuuksiin.
Hyökkäyksistä, jotka voidaan suorittaa suorittamalla koodisi DSP-sirun laiteohjelmistotasolla:
- Etuoikeuksien eskaloituminen ja turvallisuuden ohitus – kaappaa salaa tietoja, kuten valokuvia, videoita, puhelutallenteita, mikrofonitietoja, GPS-tietoja jne.
- Palvelunesto ja haitalliset toimet - estävät pääsyn tietoihin, poistavat ylikuumenemissuojan käytöstä pikalatauksen aikana.
- Haitallisen toiminnan piilottaminen on täysin näkymättömien ja poistamattomien haitallisten komponenttien luomista laiteohjelmistotasolla.
- Tunnisteiden liittäminen käyttäjän jäljittämiseksi, kuten huomaamattomien tunnisteiden lisääminen kuvaan tai videoon sen määrittämiseksi, onko lähetetty tieto linkitetty käyttäjään.
MediaTek Audio HAL:n haavoittuvuuden yksityiskohtia ei ole vielä julkistettu, mutta DSP:n laiteohjelmiston kolme muuta haavoittuvuutta johtuvat virheellisestä rajatarkistuksesta käsiteltäessä audio_ipi-ääniohjaimen DSP:lle lähettämiä IPI-viestejä (Inter-Processor Interrupt). Näiden ongelmien avulla voit aiheuttaa hallitun puskurin ylivuodon laiteohjelmiston tarjoamissa käsittelijöissä, joissa tiedot siirretyn tiedon koosta otettiin IPI-paketin sisällä olevasta kentästä tarkistamatta jaetussa muistissa olevaa todellista kokoa.
Ohjaimen käyttämiseen kokeiden aikana käytettiin suoria ioctls-kutsuja tai /vendor/lib/hw/audio.primary.mt6853.so-kirjastoa, jotka eivät ole tavallisten Android-sovellusten käytettävissä. Tutkijat ovat kuitenkin löytäneet kiertotavan komentojen lähettämiseen, joka perustuu kolmansien osapuolien sovellusten käytettävissä olevien virheenkorjausvaihtoehtojen käyttöön. Näitä parametreja voidaan muuttaa soittamalla AudioManager Android -palveluun hyökkäämään MediaTek Aurisys HAL -kirjastoihin (libfvaudio.so), jotka tarjoavat kutsuja olla vuorovaikutuksessa DSP:n kanssa. Tämän kiertotavan estämiseksi MediaTek on poistanut mahdollisuuden käyttää PARAM_FILE-komentoa AudioManagerin kautta.
Lähde: opennet.ru