Undersikers fan Checkpoint hawwe trije kwetsberens identifisearre (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) yn 'e firmware fan MediaTek DSP-chips, lykas ek in kwetsberens yn' e MediaTek Audio HAL audioferwurkingslaach (CVE- 2021-0673). As de kwetsberens mei súkses wurde eksploitearre, kin in oanfaller in brûker ôflústerje fan in unprivilegiearre applikaasje foar it Android-platfoarm.
Yn 2021 ferantwurdet MediaTek sawat 37% fan ferstjoeringen fan spesjalisearre chips foar smartphones en SoC's (neffens oare gegevens, yn it twadde fearnsjier fan 2021, wie it oandiel fan MediaTek ûnder fabrikanten fan DSP-chips foar smartphones 43%). MediaTek DSP-chips wurde ek brûkt yn flaggeskipsmartphones troch Xiaomi, Oppo, Realme en Vivo. MediaTek-chips, basearre op in mikroprosessor mei Tensilica Xtensa-arsjitektuer, wurde brûkt yn smartphones om operaasjes út te fieren lykas audio-, byld- en fideoferwurking, yn berekkenjen foar augmented reality-systemen, kompjûterfisy en masine-learen, lykas ek by it útfieren fan snelle oplaadmodus.
Tidens reverse engineering fan firmware foar MediaTek DSP-chips basearre op it FreeRTOS-platfoarm, waarden ferskate manieren identifisearre om koade út te fieren oan 'e firmwarekant en kontrôle te krijen oer operaasjes yn' e DSP troch spesjaal makke oanfragen te ferstjoeren fan unprivilegearre applikaasjes foar it Android-platfoarm. Praktyske foarbylden fan oanfallen waarden demonstrearre op in Xiaomi Redmi Note 9 5G-smartphone foarsjoen fan in MediaTek MT6853 (Dimensity 800U) SoC. It wurdt opmurken dat OEM's al reparaasjes hawwe krigen foar de kwetsberens yn 'e Oktober MediaTek-firmware-update.
Under de oanfallen dy't kinne wurde útfierd troch jo koade út te fieren op it firmwarenivo fan 'e DSP-chip:
- Privilege eskalaasje en feiligens bypass - stealthily fange gegevens lykas foto's, fideo's, opropopnames, mikrofoangegevens, GPS-gegevens, ensfh.
- Denial of tsjinst en kweade aksjes - blokkearje tagong ta ynformaasje, útskeakelje oerverhitting beskerming by fluch opladen.
- It ferbergjen fan kweade aktiviteit is it meitsjen fan folslein ûnsichtbere en net te ferwiderjen kweade komponinten útfierd op firmwarenivo.
- Tags taheakje om in brûker te folgjen, lykas it tafoegjen fan diskrete tags oan in ôfbylding of fideo om dan te bepalen oft de pleatste gegevens keppele binne oan de brûker.
Details fan 'e kwetsberens yn MediaTek Audio HAL binne noch net bekend makke, mar de oare trije kwetsberens yn' e DSP-firmware wurde feroarsake troch ferkearde grinskontrôle by it ferwurkjen fan IPI (Inter-Processor Interrupt) berjochten stjoerd troch de audio_ipi audio-bestjoerder nei de DSP. Dizze problemen kinne jo feroarsaakje in kontrolearre buffer oerstreaming yn handlers levere troch de firmware, wêryn ynformaasje oer de grutte fan de oerdroegen gegevens waard nommen út in fjild binnen de IPI pakket, sûnder kontrolearjen de eigentlike grutte leit yn dielde ûnthâld.
Om tagong te krijen ta de bestjoerder tidens de eksperiminten, waarden direkte ioctls-oproppen of de biblioteek /vendor/lib/hw/audio.primary.mt6853.so, dy't net beskikber binne foar reguliere Android-applikaasjes, brûkt. Undersikers hawwe lykwols in oplossing fûn foar it ferstjoeren fan kommando's basearre op it gebrûk fan debuggen-opsjes beskikber foar applikaasjes fan tredden. Dizze parameters kinne wurde feroare troch de AudioManager Android-tsjinst te roppen om de MediaTek Aurisys HAL-biblioteken (libfvaudio.so) oan te fallen, dy't petearen leverje om te ynteraksje mei de DSP. Om dizze oplossing te blokkearjen, hat MediaTek de mooglikheid fuortsmiten om it PARAM_FILE kommando te brûken fia AudioManager.
Boarne: opennet.ru