Les chercheurs de Checkpoint ont identifié trois vulnérabilités (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) dans le micrologiciel des puces MediaTek DSP, ainsi qu'une vulnérabilité dans la couche de traitement audio MediaTek Audio HAL (CVE- 2021-0673). Si les vulnérabilités sont exploitées avec succès, un attaquant peut espionner un utilisateur à partir d’une application non privilégiée pour la plateforme Android.
En 2021, MediaTek représente environ 37 % des expéditions de puces spécialisées pour smartphones et SoC (selon d'autres données, au deuxième trimestre 2021, la part de MediaTek parmi les fabricants de puces DSP pour smartphones était de 43 %). Les puces MediaTek DSP sont également utilisées dans les smartphones phares de Xiaomi, Oppo, Realme et Vivo. Les puces MediaTek, basées sur un microprocesseur avec l'architecture Tensilica Xtensa, sont utilisées dans les smartphones pour des opérations telles que le traitement audio, image et vidéo, dans l'informatique pour les systèmes de réalité augmentée, la vision par ordinateur et l'apprentissage automatique, ainsi que pour la mise en œuvre du mode de charge rapide.
Lors de l'ingénierie inverse du micrologiciel pour les puces MediaTek DSP basées sur la plate-forme FreeRTOS, plusieurs façons ont été identifiées pour exécuter du code côté micrologiciel et prendre le contrôle des opérations dans le DSP en envoyant des requêtes spécialement conçues à partir d'applications non privilégiées pour la plate-forme Android. Des exemples pratiques d'attaques ont été démontrés sur un smartphone Xiaomi Redmi Note 9 5G équipé d'un SoC MediaTek MT6853 (Dimensity 800U). Il est à noter que les OEM ont déjà reçu des correctifs pour les vulnérabilités dans la mise à jour du micrologiciel MediaTek d'octobre.
Parmi les attaques pouvant être menées en exécutant votre code au niveau du firmware de la puce DSP :
- Élévation de privilèges et contournement de sécurité : capturez furtivement des données telles que des photos, des vidéos, des enregistrements d'appels, des données de microphone, des données GPS, etc.
- Déni de service et actions malveillantes - blocage de l'accès aux informations, désactivation de la protection contre la surchauffe lors d'une charge rapide.
- La dissimulation d'une activité malveillante consiste à créer des composants malveillants complètement invisibles et inamovibles exécutés au niveau du micrologiciel.
- Attacher des balises pour suivre un utilisateur, comme ajouter des balises discrètes à une image ou une vidéo pour ensuite déterminer si les données publiées sont liées à l'utilisateur.
Les détails de la vulnérabilité dans MediaTek Audio HAL n'ont pas encore été divulgués, mais les trois autres vulnérabilités du micrologiciel DSP sont causées par une vérification incorrecte des limites lors du traitement des messages IPI (Inter-Processor Interrupt) envoyés par le pilote audio audio_ipi au DSP. Ces problèmes permettent de provoquer un débordement de tampon contrôlé dans les gestionnaires fournis par le micrologiciel, dans lequel les informations sur la taille des données transférées ont été extraites d'un champ à l'intérieur du paquet IPI, sans vérifier la taille réelle située dans la mémoire partagée.
Pour accéder au pilote pendant les expériences, des appels directs ioctls ou la bibliothèque /vendor/lib/hw/audio.primary.mt6853.so, qui ne sont pas disponibles pour les applications Android classiques, ont été utilisés. Cependant, les chercheurs ont trouvé une solution de contournement pour l'envoi de commandes basée sur l'utilisation d'options de débogage disponibles pour les applications tierces. Ces paramètres peuvent être modifiés en appelant le service AudioManager Android pour attaquer les bibliothèques MediaTek Aurisys HAL (libfvaudio.so), qui fournissent des appels pour interagir avec le DSP. Pour bloquer cette solution de contournement, MediaTek a supprimé la possibilité d'utiliser la commande PARAM_FILE via AudioManager.
Source: opennet.ru