Fuerscher vu Checkpoint hunn dräi Schwachstelle identifizéiert (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) an der Firmware vu MediaTek DSP Chips, souwéi eng Schwachstelle an der MediaTek Audio HAL Audio Veraarbechtungsschicht (CVE- 2021-0673). Wann d'Schwieregkeeten erfollegräich ausgenotzt ginn, kann en Ugräifer e Benotzer vun enger onprivilegéierter Applikatioun fir d'Android Plattform oflauschteren.
Am Joer 2021 stellt MediaTek ongeféier 37% vun de Sendunge vu spezialiséierte Chips fir Smartphones a SoCs aus (no aneren Donnéeën, am zweete Véierel vun 2021, war den Undeel vun MediaTek ënner Hiersteller vun DSP Chips fir Smartphones 43%). MediaTek DSP Chips ginn och a Flaggschëff Smartphones vu Xiaomi, Oppo, Realme a Vivo benotzt. MediaTek Chips, baséiert op engem Mikroprozessor mat Tensilica Xtensa Architektur, ginn a Smartphones benotzt fir Operatiounen wéi Audio, Bild a Videoveraarbechtung auszeféieren, am Informatik fir augmentéiert Realitéit Systemer, Computervisioun a Maschinnléieren, wéi och beim Implementéiere vu Schnellladungsmodus.
Wärend der Reverse Engineering vu Firmware fir MediaTek DSP Chips baséiert op der FreeRTOS Plattform, goufen verschidde Weeër identifizéiert fir Code op der Firmware Säit auszeféieren an d'Kontroll iwwer Operatiounen am DSP ze kréien andeems se speziell erstallt Ufroe vun onprivilegéierten Uwendungen fir d'Android Plattform schécken. Praktesch Beispiller vun Attacke goufen op engem Xiaomi Redmi Note 9 5G Smartphone demonstréiert mat engem MediaTek MT6853 (Dimensity 800U) SoC. Et gëtt bemierkt datt OEMs scho Fixer fir d'Schwieregkeeten am Oktober MediaTek Firmware Update kritt hunn.
Ënnert den Attacken déi duerchgefouert kënne ginn andeems Dir Äre Code um Firmware Niveau vum DSP Chip ausféiert:
- Privileg Eskalatioun a Sécherheetsbypass - stealthily erfaasst Daten wéi Fotoen, Videoen, Uruffopnamen, Mikrofondaten, GPS Daten, asw.
- Verweigerung vum Service a béiswëlleg Handlungen - Blockéiert Zougang zu Informatioun, Desaktivéiere vum Iwwerhëtzungsschutz wärend der Schnellladung.
- Béiswëlleg Aktivitéit verstoppen ass d'Schafung vu komplett onsichtbaren an onentfernbare béiswëlleg Komponenten, déi um Firmware-Niveau ausgefouert ginn.
- Tags befestegt fir e Benotzer ze verfolgen, sou wéi diskret Tags op e Bild oder Video bäizefügen fir dann ze bestëmmen ob déi gepost Daten mam Benotzer verlinkt sinn.
Detailer vun der Schwachstelle am MediaTek Audio HAL sinn nach net verëffentlecht ginn, awer déi aner dräi Schwachstelle vun der DSP Firmware ginn duerch falsch Grenzkontrolle verursaacht wann Dir IPI (Inter-Processor Interrupt) Messagen veraarbecht, déi vum audio_ipi Audio Chauffer un den DSP geschéckt ginn. Dës Probleemer erlaben Iech e kontrolléierte Pufferiwwerfluss an Handler, déi vun der Firmware geliwwert ginn, ze verursaachen, an deenen Informatioun iwwer d'Gréisst vun den transferéierten Donnéeën aus engem Feld am IPI-Paket geholl gouf, ouni déi aktuell Gréisst am gemeinsame Gedächtnis ze kontrolléieren.
Fir Zougang zum Chauffer während den Experimenter ze kréien, goufen direkt ioctls Uriff oder d'/vendor/lib/hw/audio.primary.mt6853.so Bibliothéik benotzt, déi net fir normal Android Uwendungen verfügbar sinn. Wéi och ëmmer, d'Fuerscher hunn eng Léisung fonnt fir Kommandoen ze schécken baséiert op der Notzung vun Debuggingoptiounen, déi fir Drëtt Partei Uwendungen verfügbar sinn. Dës Parameter kënnen geännert ginn andeems Dir den AudioManager Android Service rufft fir d'MediaTek Aurisys HAL Bibliothéiken (libfvaudio.so) z'attackéieren, déi Uruff ubidden fir mat der DSP ze interagéieren. Fir dës Léisung ze blockéieren, huet MediaTek d'Fäegkeet geläscht fir de PARAM_FILE Kommando duerch AudioManager ze benotzen.
Source: opennet.ru