Forskere fra Checkpoint har identifisert tre sårbarheter (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) i fastvaren til MediaTek DSP-brikker, samt en sårbarhet i MediaTek Audio HAL-lydbehandlingslaget (CVE- 2021-0673). Hvis sårbarhetene er vellykket utnyttet, kan en angriper avlytte en bruker fra en uprivilegert applikasjon for Android-plattformen.
I 2021 står MediaTek for omtrent 37 % av forsendelsene av spesialiserte brikker for smarttelefoner og SoC-er (ifølge andre data, i andre kvartal 2021 var MediaTeks andel blant produsenter av DSP-brikker for smarttelefoner 43%). MediaTek DSP-brikker brukes også i flaggskipsmarttelefoner av Xiaomi, Oppo, Realme og Vivo. MediaTek-brikker, basert på en mikroprosessor med Tensilica Xtensa-arkitektur, brukes i smarttelefoner for å utføre operasjoner som lyd-, bilde- og videobehandling, i databehandling for utvidede virkelighetssystemer, datasyn og maskinlæring, samt i implementering av hurtiglademodus.
Under omvendt utvikling av fastvare for MediaTek DSP-brikker basert på FreeRTOS-plattformen, ble det identifisert flere måter å kjøre kode på fastvaresiden og få kontroll over operasjoner i DSP ved å sende spesiallagde forespørsler fra uprivilegerte applikasjoner for Android-plattformen. Praktiske eksempler på angrep ble demonstrert på en Xiaomi Redmi Note 9 5G-smarttelefon utstyrt med en MediaTek MT6853 (Dimensity 800U) SoC. Det bemerkes at OEM-er allerede har mottatt reparasjoner for sårbarhetene i MediaTek-fastvareoppdateringen fra oktober.
Blant angrepene som kan utføres ved å utføre koden din på fastvarenivået til DSP-brikken:
- Eskalering av privilegier og sikkerhetsomgåelse – fangst snikende data som bilder, videoer, samtaleopptak, mikrofondata, GPS-data, etc.
- Denial of service og ondsinnede handlinger - blokkering av tilgang til informasjon, deaktivering av overopphetingsbeskyttelse under hurtiglading.
- Å skjule ondsinnet aktivitet er opprettelsen av fullstendig usynlige og ikke-fjernbare skadelige komponenter utført på fastvarenivå.
- Legge ved tagger for å spore en bruker, for eksempel å legge til diskrete tagger til et bilde eller en video for deretter å bestemme om de postede dataene er knyttet til brukeren.
Detaljer om sårbarheten i MediaTek Audio HAL er ennå ikke avslørt, men de tre andre sårbarhetene i DSP-fastvaren er forårsaket av feil grensekontroll ved behandling av IPI-meldinger (Inter-Processor Interrupt) sendt av audio_ipi-lyddriveren til DSP. Disse problemene lar deg forårsake en kontrollert bufferoverflyt i behandlere levert av fastvaren, der informasjon om størrelsen på de overførte dataene ble hentet fra et felt inne i IPI-pakken, uten å sjekke den faktiske størrelsen i delt minne.
For å få tilgang til driveren under eksperimentene ble direkte ioctls-anrop eller /vendor/lib/hw/audio.primary.mt6853.so-biblioteket, som ikke er tilgjengelig for vanlige Android-applikasjoner, brukt. Forskere har imidlertid funnet en løsning for å sende kommandoer basert på bruk av feilsøkingsalternativer som er tilgjengelige for tredjepartsapplikasjoner. Disse parameterne kan endres ved å ringe AudioManager Android-tjenesten for å angripe MediaTek Aurisys HAL-bibliotekene (libfvaudio.so), som gir samtaler for å samhandle med DSP. For å blokkere denne løsningen har MediaTek fjernet muligheten til å bruke PARAM_FILE-kommandoen gjennom AudioManager.
Kilde: opennet.ru