Checkpoint зерттеушілері MediaTek DSP чиптерінің микробағдарламасында үш осалдықты (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663), сондай-ақ MediaTek Audio HAL аудио өңдеу қабатындағы (CVE-) осалдықты анықтады. 2021- 0673). Егер осалдықтар сәтті пайдаланылса, шабуылдаушы Android платформасына арналған артықшылықсыз қолданбадан пайдаланушыны тыңдай алады.
2021 жылы MediaTek смартфондар мен SoC құрылғыларына арналған мамандандырылған чиптерді жөнелтудің шамамен 37% құрайды (басқа деректерге сәйкес, 2021 жылдың екінші тоқсанында MediaTek-тің смартфондарға арналған DSP чиптерін өндірушілер арасындағы үлесі 43% құрады). MediaTek DSP чиптері Xiaomi, Oppo, Realme және Vivo флагмандық смартфондарында да қолданылады. Tensilica Xtensa архитектурасы бар микропроцессорға негізделген MediaTek чиптері смартфондарда аудио, кескін және бейне өңдеу сияқты операцияларды орындау, толықтырылған шындық жүйелерін есептеу, компьютерлік көру және машиналық оқыту, сондай-ақ жылдам зарядтау режимін енгізу үшін қолданылады.
FreeRTOS платформасына негізделген MediaTek DSP чиптеріне арналған микробағдарламаны кері инженериялау кезінде Android платформасы үшін артықшылықсыз қолданбалардан арнайы жасалған сұрауларды жіберу арқылы микробағдарлама жағында кодты орындаудың және DSP-дегі операцияларды басқарудың бірнеше жолы анықталды. Шабуылдардың практикалық мысалдары MediaTek MT9 (Dimensity 5U) SoC орнатылған Xiaomi Redmi Note 6853 800G смартфонында көрсетілді. OEMs MediaTek микробағдарламасының қазан айындағы жаңартуындағы осалдықтарды түзетіп қойғаны атап өтілді.
DSP чипінің микробағдарлама деңгейінде кодты орындау арқылы жүзеге асырылуы мүмкін шабуылдардың арасында:
- Артықшылықты арттыру және қауіпсіздікті айналып өту - фотосуреттер, бейнелер, қоңырау жазбалары, микрофон деректері, GPS деректері және т.б. сияқты деректерді жасырын түрде түсіріңіз.
- Қызмет көрсетуден бас тарту және зиянды әрекеттер – ақпаратқа қол жеткізуді блоктау, жылдам зарядтау кезінде қызып кетуден қорғауды өшіру.
- Зиянды әрекетті жасыру - микробағдарлама деңгейінде орындалатын мүлдем көрінбейтін және алынбайтын зиянды компоненттерді жасау.
- Пайдаланушыны қадағалау үшін тегтерді тіркеу, мысалы, суретке немесе бейнеге жасырын тегтерді қосу, содан кейін жарияланған деректердің пайдаланушымен байланыстырылғанын анықтау.
MediaTek Audio HAL жүйесіндегі осалдықтың егжей-тегжейлері әлі ашылған жоқ, бірақ DSP микробағдарламасындағы қалған үш осалдық аудио_ipi аудио драйвері DSP-ге жіберген IPI (Inter-Processor Interrupt) хабарламаларын өңдеу кезінде шекараны дұрыс тексеруден туындады. Бұл мәселелер микробағдарламамен қамтамасыз етілген өңдегіштерде басқарылатын буфердің толып кетуін тудыруға мүмкіндік береді, онда тасымалданатын деректердің өлшемі туралы ақпарат ортақ жадта орналасқан нақты өлшемді тексерусіз IPI пакетінің ішіндегі өрістен алынған.
Тәжірибелер кезінде драйверге қол жеткізу үшін тікелей ioctls қоңыраулары немесе қарапайым Android қолданбаларында қол жетімді емес /vendor/lib/hw/audio.primary.mt6853.so кітапханасы пайдаланылды. Дегенмен, зерттеушілер үшінші тарап қолданбаларында қол жетімді жөндеу опцияларын пайдалану негізінде пәрмендерді жіберудің уақытша шешімін тапты. Бұл параметрлерді DSP-пен әрекеттесу үшін қоңырауларды қамтамасыз ететін MediaTek Aurisys HAL кітапханаларына (libfvaudio.so) шабуыл жасау үшін AudioManager Android қызметіне қоңырау шалу арқылы өзгертуге болады. Бұл уақытша шешімді блоктау үшін MediaTek AudioManager арқылы PARAM_FILE пәрменін пайдалану мүмкіндігін жойды.
Ақпарат көзі: opennet.ru