Tha luchd-rannsachaidh bho Checkpoint air trì so-leòntachd a chomharrachadh (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) ann am firmware chips MediaTek DSP, a bharrachd air so-leòntachd ann an còmhdach giollachd claisneachd MediaTek Audio HAL (CVE- 2021- 0673). Ma thèid brath a ghabhail air na so-leòntachd gu soirbheachail, faodaidh neach-ionnsaigh èisteachd ri neach-cleachdaidh bho thagradh neo-leasaichte airson àrd-ùrlar Android.
Ann an 2021, tha MediaTek a’ dèanamh suas mu 37% de luchdan de chips sònraichte airson fònaichean sgairteil agus SoCs (a rèir dàta eile, anns an dàrna ràithe de 2021, b’ e cuibhreann MediaTek am measg luchd-saothrachaidh chips DSP airson fònaichean sgairteil 43%). Bithear cuideachd a’ cleachdadh chips MediaTek DSP ann am fònaichean sgairteil le Xiaomi, Oppo, Realme agus Vivo. Thathas a’ cleachdadh chips MediaTek, stèidhichte air microprocessor le ailtireachd Tensilica Xtensa, ann am fònaichean sgairteil gus gnìomhachd leithid giollachd claisneachd, ìomhaigh is bhidio a dhèanamh, ann an coimpiutaireachd airson siostaman fìrinn leasaichte, lèirsinn coimpiutair agus ionnsachadh innealan, a bharrachd air a bhith a ’buileachadh modh cosgais luath.
Rè innleadaireachd cùil de firmware airson chips MediaTek DSP stèidhichte air an àrd-ùrlar FreeRTOS, chaidh grunn dhòighean a chomharrachadh gus còd a chuir an gnìomh air taobh firmware agus smachd fhaighinn air gnìomhachd san DSP le bhith a ’cur iarrtasan sònraichte bho thagraidhean neo-leasaichte airson an àrd-ùrlar Android. Chaidh eisimpleirean practaigeach de dh’ionnsaighean a nochdadh air fòn cliste Xiaomi Redmi Note 9 5G uidheamaichte le MediaTek MT6853 (Timensity 800U) SoC. Thathas a’ toirt fa-near gu bheil OEMn mu thràth air fuasglaidhean fhaighinn airson so-leòntachd ann an ùrachadh firmware MediaTek san Dàmhair.
Am measg nan ionnsaighean a dh’ fhaodar a dhèanamh le bhith a’ cur do chòd an gnìomh aig ìre firmware a’ chip DSP:
- Àrdachadh sochair agus seach-rathad tèarainteachd - glac gu stealthily dàta leithid dealbhan, bhideothan, clàran gairm, dàta microfòn, dàta GPS, msaa.
- A’ diùltadh seirbheis agus gnìomhan droch-rùnach - a’ cur bacadh air ruigsinneachd air fiosrachadh, a’ cur casg air dìon ro theth aig àm cosgais luath.
- Is e a bhith a’ falach gnìomhachd droch-rùnach a bhith a’ cruthachadh phàirtean droch-rùnach a tha gu tur do-fhaicsinneach agus nach gabh a thoirt air falbh air an cur gu bàs aig ìre firmware.
- A’ ceangal tagaichean gus sùil a chumail air neach-cleachdaidh, leithid tagaichean falaichte a chur ri ìomhaigh no bhidio gus faighinn a-mach a bheil an dàta a chaidh a phostadh ceangailte ris an neach-cleachdaidh.
Cha deach mion-fhiosrachadh mun so-leòntachd ann am MediaTek Audio HAL fhoillseachadh fhathast, ach tha na trì so-leòntachd eile ann am firmware DSP air adhbhrachadh le sgrùdadh crìochan ceàrr nuair a bhios iad a’ làimhseachadh teachdaireachdan IPI (Inter-Processor Interrupt) a chuir an draibhear claisneachd audio_ipi chun DSP. Leigidh na duilgheadasan sin leat tar-shruth bufair fo smachd adhbhrachadh ann an luchd-làimhseachaidh a thug am firmware seachad, anns an deach fiosrachadh mu mheud an dàta a chaidh a ghluasad a thoirt bho raon taobh a-staigh a’ phacaid IPI, gun a bhith a ’sgrùdadh an fhìor mheud a tha suidhichte ann an cuimhne co-roinnte.
Gus faighinn chun draibhear rè na deuchainnean, chaidh fiosan ioctls dìreach no an leabharlann /vendor/lib/hw/audio.primary.mt6853.so, nach eil rim faighinn airson tagraidhean cunbhalach Android, a chleachdadh. Ach, tha luchd-rannsachaidh air dòigh-obrach a lorg airson òrdughan a chuir a-steach stèidhichte air cleachdadh roghainnean deasbaid a tha rim faighinn le tagraidhean treas-phàrtaidh. Faodar na paramadairean sin atharrachadh le bhith a’ gairm seirbheis AudioManager Android gus ionnsaigh a thoirt air leabharlannan MediaTek Aurisys HAL (libfvaudio.so), a bheir seachad fiosan gus eadar-obrachadh leis an DSP. Gus casg a chuir air an obair seo, tha MediaTek air an comas an àithne PARAM_FILE a chleachdadh tro AudioManager a thoirt air falbh.
Source: fosgailtenet.ru