D'aithin taighdeoirí ó Checkpoint trí leochaileacht (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) i bhfirmware sliseanna MediaTek DSP, chomh maith le leochaileacht i gciseal próiseála fuaime MediaTek Audio HAL (CVE- 2021- 0673). Má dhéantar na leochaileachtaí a shaothrú go rathúil, is féidir le hionsaitheoir cluas a chur ar úsáideoir ó fheidhmchlár neamhphribhléideach don ardán Android.
In 2021, is ionann MediaTek agus thart ar 37% de lastais sceallóga speisialaithe le haghaidh fóin chliste agus SoCanna (de réir sonraí eile, sa dara ráithe de 2021, b’ionann sciar MediaTek i measc monaróirí sliseanna DSP le haghaidh fóin chliste agus 43%). Úsáideann Xiaomi, Oppo, Realme agus Vivo sliseanna MediaTek DSP freisin i bhfóin chliste suaitheanta. Úsáidtear sliseanna MediaTek, atá bunaithe ar mhicreaphróiseálaí le hailtireacht Tensilica Xtensa, i bhfóin chliste chun oibríochtaí a dhéanamh ar nós próiseáil fuaime, íomhá agus físe, sa ríomhaireacht le haghaidh córais réaltachta méadaithe, fís ríomhaireachta agus foghlaim meaisín, chomh maith le modh luchtaithe tapa a chur i bhfeidhm.
Le linn innealtóireacht droim ar ais firmware do sceallóga MediaTek DSP bunaithe ar an ardán FreeRTOS, aithníodh go leor bealaí chun cód a fhorghníomhú ar thaobh an fhirmware agus chun smacht a fháil ar oibríochtaí sa DSP trí iarratais a rinneadh go speisialta ó fheidhmchláir neamhphríobháideacha ar an ardán Android a sheoladh. Léiríodh samplaí praiticiúla d’ionsaithe ar fhón cliste Xiaomi Redmi Note 9 5G atá feistithe le MediaTek MT6853 (Dimensity 800U) SoC. Tugtar faoi deara go bhfuil socruithe faighte ag OEManna cheana féin maidir leis na leochaileachtaí i nuashonrú firmware Meán Fómhair MediaTek.
I measc na n-ionsaithe is féidir a dhéanamh trí do chód a fhorghníomhú ag leibhéal firmware an sliseanna DSP:
- Ardú pribhléid agus seachbhóthar slándála - sonraí a ghabháil go stealthily cosúil le grianghraif, físeáin, taifeadtaí glaonna, sonraí micreafón, sonraí GPS, etc.
- Seirbhís a dhiúltú agus gníomhartha mailíseacha - bac a chur ar rochtain ar fhaisnéis, cosaint róthéamh a dhíchumasú le linn luchtaithe tapa.
- Is éard atá i gceist le gníomhaíocht mhailíseach a cheilt ná comhpháirteanna mailíseacha dofheicthe go hiomlán do-bhainte a chruthú a fhorghníomhaítear ag leibhéal na firmware.
- Clibeanna a ghreamú chun úsáideoir a rianú, mar shampla clibeanna discréideacha a chur le híomhá nó físeán chun a chinneadh an bhfuil na sonraí postáilte nasctha leis an úsáideoir.
Níor nochtadh sonraí na leochaileachta i MediaTek Audio HAL fós, ach tá na trí leochaileacht eile i bhfirmware DSP mar gheall ar sheiceáil teorann mícheart nuair a bhíonn teachtaireachtaí IPI (Idirbhriseadh Idirphróiseálaí) á bpróiseáil ag an tiománaí fuaime audio_ipi chuig an DSP. Ligeann na fadhbanna seo duit ró-shreabhadh maolánach rialaithe a chur faoi deara sna láimhseálaithe a sholáthraíonn an firmware, inar tógadh faisnéis faoi mhéid na sonraí aistrithe ó réimse taobh istigh den phaicéad IPI, gan an méid iarbhír atá suite sa chuimhne roinnte a sheiceáil.
Chun rochtain a fháil ar an tiománaí le linn na dturgnaimh, baineadh úsáid as glaonna díreach ioctls nó as an leabharlann /vendor/lib/hw/audio.primary.mt6853.so, nach bhfuil ar fáil d'fheidhmchláir rialta Android. Mar sin féin, tá réiteach aimsithe ag taighdeoirí chun orduithe a sheoladh bunaithe ar úsáid na roghanna dífhabhtaithe atá ar fáil d’fheidhmchláir tríú páirtí. Is féidir na paraiméadair seo a athrú trí ghlaoch a chur ar sheirbhís AudioManager Android chun ionsaí a dhéanamh ar leabharlanna MediaTek Aurisys HAL (libfvaudio.so), a sholáthraíonn glaonna chun idirghníomhú leis an DSP. Chun bac a chur leis an gcomhoibriú seo, tá MediaTek tar éis an cumas an t-ordú PARAM_FILE a úsáid trí AudioManager a bhaint.
Foinse: oscailtenet.ru