Os investigadores de Checkpoint identificaron tres vulnerabilidades (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) no firmware dos chips MediaTek DSP, así como unha vulnerabilidade na capa de procesamento de audio MediaTek Audio HAL (CVE-). 2021-0673). Se as vulnerabilidades se explotan con éxito, un atacante pode espiar a un usuario desde unha aplicación sen privilexios para a plataforma Android.
En 2021, MediaTek representa aproximadamente o 37% dos envíos de chips especializados para teléfonos intelixentes e SoC (segundo outros datos, no segundo trimestre de 2021, a participación de MediaTek entre os fabricantes de chips DSP para teléfonos intelixentes foi do 43%). Os chips MediaTek DSP tamén se utilizan nos teléfonos intelixentes insignia de Xiaomi, Oppo, Realme e Vivo. Os chips MediaTek, baseados nun microprocesador con arquitectura Tensilica Xtensa, empréganse nos teléfonos intelixentes para realizar operacións como o procesamento de audio, imaxe e vídeo, en informática para sistemas de realidade aumentada, visión por ordenador e aprendizaxe automática, así como na implementación do modo de carga rápida.
Durante a enxeñaría inversa do firmware para chips MediaTek DSP baseados na plataforma FreeRTOS, identificáronse varias formas de executar código no lado do firmware e obter control sobre as operacións no DSP enviando solicitudes especialmente elaboradas desde aplicacións sen privilexios para a plataforma Android. Demostráronse exemplos prácticos de ataques nun smartphone Xiaomi Redmi Note 9 5G equipado cun SoC MediaTek MT6853 (Dimensity 800U). Nótase que os OEM xa recibiron correccións para as vulnerabilidades na actualización do firmware MediaTek de outubro.
Entre os ataques que se poden levar a cabo executando o seu código a nivel de firmware do chip DSP:
- Escalada de privilexios e omisión de seguridade: captura de forma furtiva datos como fotos, vídeos, gravacións de chamadas, datos de micrófonos, datos de GPS, etc.
- Denegación de servizo e accións maliciosas: bloqueo de acceso á información, desactivación da protección contra sobrequecemento durante a carga rápida.
- Ocultar actividade maliciosa é a creación de compoñentes maliciosos completamente invisibles e irremovibles executados a nivel de firmware.
- Anexando etiquetas para rastrexar un usuario, como engadir etiquetas discretas a unha imaxe ou un vídeo para despois determinar se os datos publicados están ligados ao usuario.
Aínda non se revelaron os detalles da vulnerabilidade en MediaTek Audio HAL, pero as outras tres vulnerabilidades do firmware DSP son causadas por unha comprobación incorrecta dos límites ao procesar as mensaxes IPI (Inter-Processor Interrupt) enviadas polo controlador de audio audio_ipi ao DSP. Estes problemas permiten provocar un desbordamento de búfer controlado nos manejadores que proporciona o firmware, nos que a información sobre o tamaño dos datos transferidos foi tomada dun campo dentro do paquete IPI, sen comprobar o tamaño real situado na memoria compartida.
Para acceder ao controlador durante os experimentos, utilizáronse chamadas directas de ioctls ou a biblioteca /vendor/lib/hw/audio.primary.mt6853.so, que non están dispoñibles para as aplicacións habituais de Android. Non obstante, os investigadores atoparon unha solución alternativa para enviar comandos baseados no uso de opcións de depuración dispoñibles para aplicacións de terceiros. Estes parámetros pódense cambiar chamando ao servizo de Android AudioManager para atacar as bibliotecas HAL de MediaTek Aurisys (libfvaudio.so), que proporcionan chamadas para interactuar co DSP. Para bloquear esta solución, MediaTek eliminou a posibilidade de usar o comando PARAM_FILE a través de AudioManager.
Fonte: opennet.ru