Vísindamenn frá Checkpoint hafa greint þrjá veikleika (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) í fastbúnaði MediaTek DSP flísanna, auk varnarleysis í MediaTek Audio HAL hljóðvinnslulaginu (CVE- 2021-0673). Ef veikleikarnir eru nýttir með góðum árangri getur árásarmaður hlerað notanda úr forréttindaforriti fyrir Android vettvang.
Árið 2021 stendur MediaTek fyrir um það bil 37% af sendingum sérhæfðra flísa fyrir snjallsíma og SoCs (samkvæmt öðrum gögnum, á öðrum ársfjórðungi 2021 var hlutur MediaTek meðal framleiðenda DSP flísa fyrir snjallsíma 43%). MediaTek DSP flísar eru einnig notaðir í flaggskipssnjallsímum af Xiaomi, Oppo, Realme og Vivo. MediaTek flögur, byggðar á örgjörva með Tensilica Xtensa arkitektúr, eru notaðir í snjallsímum til að framkvæma aðgerðir eins og hljóð-, mynd- og myndvinnslu, í tölvuvinnslu fyrir aukinn raunveruleikakerfi, tölvusjón og vélanám, auk þess að innleiða hraðhleðsluham.
Meðan á öfugri vélbúnaðargerð fyrir MediaTek DSP-flögur var byggður á FreeRTOS-vettvanginum, voru auðkenndar nokkrar leiðir til að keyra kóða á fastbúnaðarhliðinni og ná stjórn á aðgerðum í DSP-kerfinu með því að senda sérsmíðaðar beiðnir frá óforréttindum fyrir Android vettvang. Hagnýt dæmi um árásir voru sýnd á Xiaomi Redmi Note 9 5G snjallsíma með MediaTek MT6853 (Dimensity 800U) SoC. Það er tekið fram að OEMs hafa þegar fengið lagfæringar fyrir veikleika í október MediaTek fastbúnaðaruppfærslu.
Meðal árása sem hægt er að framkvæma með því að keyra kóðann þinn á fastbúnaðarstigi DSP flíssins:
- Forréttindi stigmögnun og framhjá öryggi - fanga gögn á laumu eins og myndir, myndbönd, upptökur símtala, hljóðnemagögn, GPS gögn o.s.frv.
- Afneitun á þjónustu og illgjarnar aðgerðir - hindra aðgang að upplýsingum, slökkva á ofhitnunarvörn við hraðhleðslu.
- Að fela illgjarn virkni er að búa til algjörlega ósýnilega og ófjarlægjanlega skaðlega hluti sem eru framkvæmdir á fastbúnaðarstigi.
- Að hengja merki til að rekja notanda, svo sem að bæta næðismerkjum við mynd eða myndskeið til að ákvarða hvort birt gögn séu tengd notandanum.
Upplýsingar um varnarleysið í MediaTek Audio HAL hafa ekki enn verið birtar, en hinir þrír veikleikarnir í DSP fastbúnaðinum eru af völdum rangrar landamæraskoðunar þegar unnið er úr IPI (Inter-Processor Interrupt) skilaboðum sem send eru af audio_ipi hljóðstjóranum til DSP. Þessi vandamál gera þér kleift að valda stýrðu biðminni yfirflæði í meðhöndlum sem vélbúnaðinn gefur, þar sem upplýsingar um stærð fluttra gagna voru teknar úr reit inni í IPI pakkanum, án þess að athuga raunverulega stærð sem er staðsett í samnýttu minni.
Til að fá aðgang að rekilinum meðan á tilraununum stóð voru bein ioctls símtöl eða /vendor/lib/hw/audio.primary.mt6853.so bókasafnið notað, sem eru ekki tiltæk fyrir venjuleg Android forrit. Hins vegar hafa vísindamenn fundið lausn til að senda skipanir byggðar á notkun kembiforrita sem eru í boði fyrir forrit þriðja aðila. Þessum breytum er hægt að breyta með því að hringja í AudioManager Android þjónustuna til að ráðast á MediaTek Aurisys HAL bókasöfnin (libfvaudio.so), sem veita símtöl til að hafa samskipti við DSP. Til að loka á þessa lausn hefur MediaTek fjarlægt möguleikann á að nota PARAM_FILE skipunina í gegnum AudioManager.
Heimild: opennet.ru