Checkpoint の研究者は、MediaTek DSP チップのファームウェアに 2021 つの脆弱性 (CVE-0661-2021、CVE-0662-2021、CVE-0663-2021) と、MediaTek Audio HAL オーディオ処理層 (CVE-0673-XNUMX) の脆弱性を特定しました。 XNUMX-XNUMX)。 この脆弱性の悪用に成功すると、攻撃者は Android プラットフォーム用の特権のないアプリケーションからユーザーを盗聴する可能性があります。
2021年には、スマートフォンおよびSoC向けの専用チップ出荷の約37%をMediaTekが占める(他のデータによると、2021年第43四半期、スマートフォン向けDSPチップのメーカーにおけるMediaTekのシェアはXNUMX%だった)。 MediaTek DSP チップは、Xiaomi、Oppo、Realme、Vivo の主力スマートフォンでも使用されています。 MediaTek チップは、Tensilica Xtensa アーキテクチャのマイクロプロセッサをベースとしており、スマートフォンでオーディオ、画像、ビデオ処理などの操作、拡張現実システム、コンピュータ ビジョン、機械学習のコンピューティング、および急速充電モードの実装に使用されています。
FreeRTOS プラットフォームに基づく MediaTek DSP チップのファームウェアのリバース エンジニアリング中に、Android プラットフォーム用の特権のないアプリケーションから特別に作成されたリクエストを送信することで、ファームウェア側でコードを実行し、DSP での操作を制御するいくつかの方法が特定されました。 実際の攻撃例は、MediaTek MT9 (Dimensity 5U) SoC を搭載した Xiaomi Redmi Note 6853 800G スマートフォンで実証されました。 OEM は、XNUMX 月の MediaTek ファームウェア アップデートで脆弱性の修正をすでに受け取っていることに注意してください。
DSP チップのファームウェア レベルでコードを実行することによって実行できる攻撃には、次のようなものがあります。
- 権限昇格とセキュリティ バイパス - 写真、ビデオ、通話録音、マイク データ、GPS データなどのデータをこっそりキャプチャします。
- サービス拒否と悪意のある行為 - 情報へのアクセスをブロックし、急速充電中の過熱保護を無効にします。
- 悪意のあるアクティビティを隠すことは、ファームウェア レベルで実行される、完全に目に見えず削除できない悪意のあるコンポーネントを作成することです。
- 画像やビデオに目立たないタグを追加して、投稿されたデータがユーザーにリンクされているかどうかを判断するなど、ユーザーを追跡するためのタグの添付。
MediaTek Audio HAL の脆弱性の詳細はまだ公開されていませんが、DSP ファームウェアの他の XNUMX つの脆弱性は、audio_ipi オーディオ ドライバーから DSP に送信される IPI (プロセッサ間割り込み) メッセージを処理する際の境界チェックが正しくないことが原因で発生します。 これらの問題により、ファームウェアが提供するハンドラーで制御されたバッファ オーバーフローが発生する可能性があります。この場合、転送データのサイズに関する情報は、共有メモリにある実際のサイズを確認せずに、IPI パケット内のフィールドから取得されます。
実験中にドライバーにアクセスするには、通常の Android アプリケーションでは利用できない直接 ioctls 呼び出しまたは /vendor/lib/hw/audio.primary.mt6853.so ライブラリが使用されました。 ただし、研究者は、サードパーティ アプリケーションで利用できるデバッグ オプションの使用に基づいてコマンドを送信するための回避策を発見しました。 これらのパラメータは、AudioManager Android サービスを呼び出して MediaTek Aurisys HAL ライブラリ (libfvaudio.so) を攻撃することで変更できます。このライブラリは、DSP と対話するための呼び出しを提供します。 この回避策をブロックするために、MediaTek は AudioManager を通じて PARAM_FILE コマンドを使用する機能を削除しました。
出所: オープンネット.ru