🥇פגיעות בקושחה של שבבי MediaTek DSP המשמשים בסמארטפונים רבים

חוקרים מ-Checkpoint זיהו שלוש נקודות תורפה (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) בקושחה של שבבי MediaTek DSP, כמו גם פגיעות בשכבת עיבוד האודיו של MediaTek Audio HAL (CVE- 2021- 0673). אם הפגיעויות מנוצלות בהצלחה, תוקף יכול לצותת למשתמש מאפליקציה ללא הרשאות עבור פלטפורמת אנדרואיד.

בשנת 2021, MediaTek אחראית לכ-37% ממשלוחי השבבים המיוחדים לסמארטפונים ו-SoCs (על פי נתונים אחרים, ברבעון השני של 2021, חלקה של MediaTek בקרב יצרני שבבי DSP לסמארטפונים היה 43%). שבבי MediaTek DSP משמשים גם בסמארטפונים ספינת הדגל של Xiaomi, Oppo, Realme ו-Vivo. שבבי MediaTek, המבוססים על מיקרו-מעבד עם ארכיטקטורת Tensilica Xtensa, משמשים בסמארטפונים לביצוע פעולות כמו עיבוד אודיו, תמונה ווידאו, במחשוב למערכות מציאות רבודה, ראייה ממוחשבת ולמידת מכונה, וכן ביישום מצב טעינה מהירה.

במהלך הנדסה לאחור של קושחה עבור שבבי MediaTek DSP המבוססים על פלטפורמת FreeRTOS, זוהו מספר דרכים להפעיל קוד בצד הקושחה ולהשיג שליטה על פעולות ב-DSP על ידי שליחת בקשות בעלות מבנה מיוחד מיישומים חסרי פריבילגיה עבור פלטפורמת אנדרואיד. דוגמאות מעשיות להתקפות הוצגו בסמארטפון Xiaomi Redmi Note 9 5G המצויד ב-MediaTek MT6853 (Dimensity 800U) SoC. יצוין כי יצרני OEM כבר קיבלו תיקונים עבור נקודות התורפה בעדכון הקושחה של MediaTek של אוקטובר.

בין ההתקפות שניתן לבצע על ידי ביצוע הקוד שלך ברמת הקושחה של שבב DSP:

הסלמה של הרשאות ומעקף אבטחה - ללכוד נתונים בחשאי כמו תמונות, סרטונים, הקלטות שיחות, נתוני מיקרופון, נתוני GPS וכו'.
מניעת שירות ופעולות זדוניות - חסימת גישה למידע, השבתת הגנת התחממות יתר בזמן טעינה מהירה.
הסתרת פעילות זדונית היא יצירה של רכיבים זדוניים בלתי נראים לחלוטין ובלתי ניתנים להסרה המבוצעים ברמת הקושחה.
צירוף תגים למעקב אחר משתמש, כגון הוספת תגים דיסקרטיים לתמונה או לסרטון כדי לקבוע אם הנתונים שפורסמו מקושרים למשתמש.

פרטי הפגיעות ב-MediaTek Audio HAL עדיין לא נחשפו, אך שלושת הפגיעויות האחרות בקושחת ה-DSP נגרמות מבדיקת גבולות שגויה בעת עיבוד הודעות IPI (Inter-Processor Interrupt) שנשלחות על ידי מנהל התקן השמע audio_ipi ל-DSP. בעיות אלו מאפשרות לך לגרום להצפת מאגר מבוקר במטפלים המסופקים על ידי הקושחה, בהם נלקח מידע על גודל הנתונים המועברים משדה בתוך חבילת ה-IPI, מבלי לבדוק את הגודל האמיתי שנמצא בזיכרון המשותף.

כדי לגשת למנהל ההתקן במהלך הניסויים, נעשה שימוש בקריאות ישירות של ioctls או בספריית /vendor/lib/hw/audio.primary.mt6853.so, שאינן זמינות ליישומי אנדרואיד רגילים. עם זאת, חוקרים מצאו פיתרון לשליחת פקודות המבוססות על שימוש באפשרויות ניפוי באגים הזמינות ליישומי צד שלישי. ניתן לשנות את הפרמטרים הללו על ידי קריאה לשירות האנדרואיד AudioManager כדי לתקוף את ספריות MediaTek Aurisys HAL (libfvaudio.so), המספקות שיחות לאינטראקציה עם ה-DSP. כדי לחסום את הדרך לעקיפת הבעיה, MediaTek הסירה את היכולת להשתמש בפקודה PARAM_FILE דרך AudioManager.

מקור: OpenNet.ru

פגיעות בקושחה של שבבי MediaTek DSP המשמשים בסמארטפונים רבים

הוספת תגובה ביטול תגובה