Chèchè ki soti nan Checkpoint te idantifye twa vilnerabilite (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) nan firmwèr nan chips MediaTek DSP, osi byen ke yon vilnerabilite nan kouch pwosesis odyo MediaTek Audio HAL (CVE-). 2021-0673). Si vilnerabilite yo avèk siksè eksplwate, yon atakè ka ekout sou yon itilizatè nan yon aplikasyon san privilèj pou platfòm Android la.
Nan 2021, MediaTek konte pou apeprè 37% nan anbakman chips espesyalize pou smartphones ak SoCs (dapre lòt done, nan dezyèm sezon an 2021, pataje MediaTek nan mitan manifaktirè chips DSP pou smartphones te 43%). Chip MediaTek DSP yo itilize tou nan smartphones bato pa Xiaomi, Oppo, Realme ak Vivo. Chip MediaTek, ki baze sou yon mikwoprosesè ak achitekti Tensilica Xtensa, yo itilize nan smartphones pou fè operasyon tankou pwosesis odyo, imaj ak videyo, nan enfòmatik pou sistèm reyalite ogmante, vizyon òdinatè ak aprantisaj machin, osi byen ke nan aplikasyon mòd chaj rapid.
Pandan jeni ranvèse nan firmwèr pou chips MediaTek DSP ki baze sou platfòm FreeRTOS la, yo te idantifye plizyè fason pou egzekite kòd sou bò firmwèr la epi pran kontwòl sou operasyon nan DSP nan voye demann espesyalman fabrike soti nan aplikasyon san privilèj pou platfòm Android la. Egzanp pratik atak yo te demontre sou yon smartphone Xiaomi Redmi Note 9 5G ekipe ak yon SoC MediaTek MT6853 (Dimensity 800U). Li te note ke OEM yo te deja resevwa ranje pou frajilite yo nan aktyalizasyon firmwèr MediaTek oktòb la.
Pami atak yo ki ka fèt pa egzekite kòd ou a nan nivo firmwèr chip DSP la:
- Eskalad privilèj ak kontoune sekirite - vòlè pran done tankou foto, videyo, anrejistreman apèl, done mikwofòn, done GPS, elatriye.
- Refi sèvis ak aksyon move - bloke aksè a enfòmasyon, enfim pwoteksyon surchof pandan chaje rapid.
- Kache aktivite move se kreyasyon konpozan move konplètman envizib ak inamovible egzekite nan nivo firmwèr.
- Tache tags pou swiv yon itilizatè, tankou ajoute tags sekrè nan yon imaj oswa videyo pou detèmine si done yo afiche yo lye ak itilizatè a.
Detay sou vilnerabilite nan MediaTek Audio HAL poko te divilge, men twa lòt vilnerabilite ki nan firmwèr DSP a se koze pa kòrèk tcheke fwontyè lè yo trete mesaj IPI (Inter-Processor Interrupt) voye pa chofè odyo audio_ipi a nan DSP la. Pwoblèm sa yo pèmèt ou lakòz yon debòde tanpon kontwole nan handlers ki bay firmwèr la, nan ki enfòmasyon sou gwosè a nan done yo transfere yo te pran nan yon jaden andedan pake IPI a, san yo pa tcheke gwosè aktyèl la ki sitiye nan memwa pataje.
Pou jwenn aksè nan chofè a pandan eksperyans yo, yo te itilize apèl ioctls dirèk oswa bibliyotèk /vendor/lib/hw/audio.primary.mt6853.so, ki pa disponib pou aplikasyon Android regilye yo. Sepandan, chèchè yo te jwenn yon solisyon pou voye kòmandman ki baze sou itilizasyon opsyon debogaj ki disponib pou aplikasyon twazyèm pati yo. Paramèt sa yo ka chanje lè w rele sèvis Android AudioManager pou atake bibliyotèk MediaTek Aurisys HAL yo (libfvaudio.so), ki bay apèl pou kominike avèk DSP la. Pou bloke solisyon sa a, MediaTek te retire kapasite pou sèvi ak lòd PARAM_FILE nan AudioManager.
Sous: opennet.ru