Checkpoint-ийн судлаачид MediaTek DSP чипийн программ дээр гурван сул тал (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663), мөн MediaTek Audio HAL аудио боловсруулалтын давхаргад (CVE-) сул талыг илрүүлсэн байна. 2021-0673). Хэрэв эмзэг байдлыг амжилттай ашиглаж чадвал халдагчид Андройд платформын давуу эрхгүй програмаас хэрэглэгчийг чагнаж болно.
2021 онд MediaTek ухаалаг гар утас болон SoC-д зориулсан тусгай чипийн тээвэрлэлтийн ойролцоогоор 37 хувийг эзэлж байна (бусад мэдээллээр 2021 оны 43-р улиралд MediaTek-ийн ухаалаг гар утасны DSP чип үйлдвэрлэгчдийн дунд эзлэх хувь XNUMX%) байна. MediaTek DSP чипийг Xiaomi, Oppo, Realme, Vivo зэрэг томоохон ухаалаг гар утсанд ашигладаг. Tensilica Xtensa архитектуртай микропроцессор дээр суурилсан MediaTek чипийг ухаалаг гар утсанд аудио, зураг, видео боловсруулах зэрэг үйлдлүүдийг гүйцэтгэх, бодит байдлын нэмэгдүүлсэн систем, компьютерийн алсын хараа, машин сурах зэрэгт ашиглах, мөн хурдан цэнэглэх горимыг хэрэгжүүлэхэд ашигладаг.
FreeRTOS платформ дээр суурилсан MediaTek DSP чипүүдэд зориулсан программ хангамжийг урвуу инженерчлэх явцад Android платформ дээр тусгайлан боловсруулсан хүсэлт илгээх замаар програм хангамжийн тал дээр код ажиллуулж, DSP дахь үйл ажиллагааг хянах хэд хэдэн арга замыг тодорхойлсон. Халдлагын бодит жишээг MediaTek MT9 (Dimensity 5U) SoC-ээр тоноглогдсон Xiaomi Redmi Note 6853 800G ухаалаг гар утсанд үзүүлэв. OEM-ууд XNUMX-р сарын MediaTek програмын шинэчлэлтийн сул талуудыг зассан болохыг тэмдэглэв.
DSP чипийн програм хангамжийн түвшинд таны кодыг ажиллуулснаар хийж болох халдлагуудын дунд:
- Эрх мэдлийг нэмэгдүүлэх, аюулгүй байдлыг тойрон гарах - зураг, видео, дуудлагын бичлэг, микрофоны өгөгдөл, GPS-ийн өгөгдөл гэх мэт өгөгдлийг нууцаар авах.
- Үйлчилгээг үгүйсгэх, хорлонтой үйлдэл хийх - мэдээлэлд хандах хандалтыг хаах, хурдан цэнэглэх үед хэт халалтаас хамгаалах хамгаалалтыг идэвхгүй болгох.
- Хортой үйлдлийг нуух нь програм хангамжийн түвшинд гүйцэтгэсэн, бүрэн үл үзэгдэх, арилгах боломжгүй хортой бүрэлдэхүүн хэсгүүдийг бий болгох явдал юм.
- Хэрэглэгчийг хянахын тулд шошго хавсаргах, тухайлбал зураг эсвэл видеонд нууцлаг хаягууд нэмэх, дараа нь байршуулсан өгөгдөл нь хэрэглэгчтэй холбогдсон эсэхийг тодорхойлох.
MediaTek Audio HAL-ийн эмзэг байдлын дэлгэрэнгүй мэдээлэл хараахан гараагүй байгаа боловч DSP програмын бусад гурван эмзэг байдал нь audio_ipi аудио драйвераас DSP руу илгээсэн IPI (Inter-Processor Interrupt) мессежийг боловсруулахдаа хил хязгаарыг буруу шалгаснаас үүдэлтэй. Эдгээр асуудлууд нь хуваалцсан санах ойд байрлах бодит хэмжээг шалгахгүйгээр шилжүүлсэн өгөгдлийн хэмжээг IPI пакет доторх талбараас авсан программ хангамжийн зохицуулагчдад хяналттай буфер халих боломжийг танд олгоно.
Туршилтын явцад драйвер руу нэвтрэхийн тулд шууд ioctls дуудлага эсвэл энгийн Android програмуудад байдаггүй /vendor/lib/hw/audio.primary.mt6853.so номын санг ашигласан. Гэсэн хэдий ч судлаачид гуравдагч талын програмуудад ашиглах боломжтой дибаг хийх сонголтуудыг ашиглахад үндэслэн командуудыг илгээх тойргийн арга замыг олсон байна. DSP-тэй харилцах дуудлага өгдөг MediaTek Aurisys HAL сангууд (libfvaudio.so) руу халдахын тулд AudioManager Android үйлчилгээг дуудаж эдгээр параметрүүдийг өөрчилж болно. Энэ шийдлийг хаахын тулд MediaTek нь AudioManager-ээр дамжуулан PARAM_FILE командыг ашиглах боломжийг хассан.
Эх сурвалж: opennet.ru