A Checkpoint kutatói három sebezhetőséget (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) azonosítottak a MediaTek DSP chipek firmware-jében, valamint egy sebezhetőséget a MediaTek Audio HAL hangfeldolgozó rétegében (CVE- 2021-0673). Ha a sérülékenységet sikeresen kihasználják, a támadó lehallgathatja a felhasználót egy Android platformra nem jogosult alkalmazásból.
2021-ben a MediaTek az okostelefonokhoz és SoC-okhoz speciális chipek szállításának hozzávetőlegesen 37%-át adja (más adatok szerint 2021 második negyedévében a MediaTek részesedése az okostelefonokhoz szánt DSP chipek gyártói között 43% volt). A MediaTek DSP chipeket a Xiaomi, az Oppo, a Realme és a Vivo zászlóshajó okostelefonjaiban is használják. A Tensilica Xtensa architektúrájú mikroprocesszoron alapuló MediaTek chipeket okostelefonokban használják hang-, kép- és videófeldolgozáshoz, a kiterjesztett valóság rendszerek számítástechnikájához, a számítógépes látáshoz és a gépi tanuláshoz, valamint a gyorstöltési mód megvalósításához.
A FreeRTOS platformon alapuló MediaTek DSP chipek firmware-ének visszafejtése során számos módot azonosítottak a firmware-oldali kód végrehajtására és a DSP-ben végzett műveletek feletti irányítás megszerzésére azáltal, hogy speciálisan kialakított kéréseket küldenek az Android platformra nem jogosult alkalmazásoktól. A támadások gyakorlati példáit egy MediaTek MT9 (Dimensity 5U) SoC-vel felszerelt Xiaomi Redmi Note 6853 800G okostelefonon mutatták be. Meg kell jegyezni, hogy az eredeti gyártók már megkapták az októberi MediaTek firmware-frissítésben található biztonsági rések javítását.
A kódjának a DSP chip firmware szintjén történő végrehajtásával végrehajtható támadások közül:
- Privilégiumok kiterjesztése és biztonsági megkerülése – lopva rögzítsen adatokat, például fényképeket, videókat, hívásfelvételeket, mikrofonadatokat, GPS-adatokat stb.
- Szolgáltatásmegtagadás és rosszindulatú műveletek - az információkhoz való hozzáférés blokkolása, a túlmelegedés elleni védelem letiltása a gyorstöltés során.
- A rosszindulatú tevékenységek elrejtése teljesen láthatatlan és eltávolíthatatlan rosszindulatú összetevők létrehozása, amelyek firmware-szinten futnak le.
- Címkék csatolása a felhasználó nyomon követéséhez, például diszkrét címkék hozzáadása egy képhez vagy videóhoz annak megállapítására, hogy a közzétett adatok kapcsolódnak-e a felhasználóhoz.
A MediaTek Audio HAL biztonsági résének részleteit még nem hozták nyilvánosságra, de a DSP firmware másik három sérülékenységét az audio_ipi audio-illesztőprogram által a DSP-nek küldött IPI (Inter-Processor Interrupt) üzenetek feldolgozása során hibás határellenőrzés okozza. Ezek a problémák lehetővé teszik, hogy ellenőrzött puffertúlcsordulást idézzen elő a firmware által biztosított kezelőkben, ahol az átvitt adatok méretére vonatkozó információkat az IPI-csomagon belüli mezőből vették, anélkül, hogy ellenőrizték volna a megosztott memóriában található tényleges méretet.
A kísérletek során az illesztőprogram eléréséhez közvetlen ioctls hívásokat vagy a /vendor/lib/hw/audio.primary.mt6853.so könyvtárat használtuk, amelyek nem érhetők el a szokásos Android alkalmazások számára. A kutatók azonban megoldást találtak a parancsok küldésére a harmadik féltől származó alkalmazások számára elérhető hibakeresési lehetőségek használatával. Ezek a paraméterek módosíthatók az AudioManager Android szolgáltatás meghívásával, hogy megtámadják a MediaTek Aurisys HAL-könyvtárakat (libfvaudio.so), amelyek hívásokat biztosítanak a DSP-vel való interakcióhoz. A megoldás blokkolása érdekében a MediaTek eltávolította a PARAM_FILE parancs AudioManageren keresztüli használatának lehetőségét.
Forrás: opennet.ru