Istraživači iz Checkpointa identificirali su tri ranjivosti (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) u firmware-u MediaTek DSP čipova, kao i ranjivost u sloju za obradu zvuka MediaTek Audio HAL (CVE- 2021- 0673). Ako se ranjivosti uspješno iskoriste, napadač može prisluškivati korisnika iz neprivilegirane aplikacije za Android platformu.
U 2021. MediaTek čini približno 37% isporuka specijaliziranih čipova za pametne telefone i SoC-ove (prema drugim podacima, u drugom kvartalu 2021. udio MediaTeka među proizvođačima DSP čipova za pametne telefone bio je 43%). MediaTek DSP čipovi također se koriste u vodećim pametnim telefonima Xiaomi, Oppo, Realme i Vivo. MediaTek čipovi, temeljeni na mikroprocesoru s arhitekturom Tensilica Xtensa, koriste se u pametnim telefonima za obavljanje operacija kao što su obrada zvuka, slike i videa, u računalstvu za sustave proširene stvarnosti, računalni vid i strojno učenje, kao i u implementaciji načina brzog punjenja.
Tijekom obrnutog inženjeringa firmvera za MediaTek DSP čipove temeljene na FreeRTOS platformi, identificirano je nekoliko načina za izvršavanje koda na strani firmvera i stjecanje kontrole nad operacijama u DSP-u slanjem posebno izrađenih zahtjeva iz neprivilegiranih aplikacija za Android platformu. Praktični primjeri napada demonstrirani su na Xiaomi Redmi Note 9 5G pametnom telefonu opremljenom MediaTek MT6853 (Dimensity 800U) SoC. Napominje se da su proizvođači originalne opreme već primili popravke za ranjivosti u listopadskom ažuriranju firmvera MediaTeka.
Među napadima koji se mogu izvesti izvršavanjem vašeg koda na razini firmvera DSP čipa:
- Eskalacija privilegija i sigurnosno zaobilaženje - tajno snimajte podatke kao što su fotografije, videozapisi, snimke poziva, podaci mikrofona, GPS podaci itd.
- Odbijanje usluge i zlonamjerne radnje - blokiranje pristupa informacijama, onemogućavanje zaštite od pregrijavanja tijekom brzog punjenja.
- Skrivanje zlonamjerne aktivnosti je stvaranje potpuno nevidljivih i neuklonjivih zlonamjernih komponenti koje se izvršavaju na razini firmvera.
- Prilaganje oznaka za praćenje korisnika, kao što je dodavanje diskretnih oznaka na sliku ili video kako bi se zatim utvrdilo jesu li objavljeni podaci povezani s korisnikom.
Pojedinosti o ranjivosti u MediaTek Audio HAL-u još nisu otkrivene, ali ostale tri ranjivosti u DSP firmware-u uzrokovane su netočnom provjerom granica prilikom obrade IPI (Inter-Processor Interrupt) poruka koje audio_ipi upravljački program šalje DSP-u. Ovi problemi omogućuju vam da izazovete kontrolirano prekoračenje međuspremnika u rukovateljima koje pruža firmware, u kojima su informacije o veličini prenesenih podataka preuzete iz polja unutar IPI paketa, bez provjere stvarne veličine koja se nalazi u zajedničkoj memoriji.
Za pristup upravljačkom programu tijekom eksperimenata korišteni su izravni ioctl pozivi ili biblioteka /vendor/lib/hw/audio.primary.mt6853.so, koji nisu dostupni uobičajenim Android aplikacijama. Međutim, istraživači su pronašli zaobilazno rješenje za slanje naredbi temeljeno na korištenju opcija otklanjanja pogrešaka dostupnih aplikacijama trećih strana. Ovi se parametri mogu promijeniti pozivanjem usluge AudioManager Android za napad na MediaTek Aurisys HAL biblioteke (libfvaudio.so), koje pružaju pozive za interakciju s DSP-om. Kako bi blokirao ovo zaobilazno rješenje, MediaTek je uklonio mogućnost korištenja naredbe PARAM_FILE putem AudioManagera.
Izvor: opennet.ru