Pesquisadores da Checkpoint identificaram três vulnerabilidades (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) no firmware dos chips MediaTek DSP, bem como uma vulnerabilidade na camada de processamento de áudio MediaTek Audio HAL (CVE- 2021-0673). Se as vulnerabilidades forem exploradas com sucesso, um invasor poderá espionar um usuário a partir de um aplicativo sem privilégios para a plataforma Android.
Em 2021, a MediaTek responde por aproximadamente 37% das remessas de chips especializados para smartphones e SoCs (segundo outros dados, no segundo trimestre de 2021, a participação da MediaTek entre os fabricantes de chips DSP para smartphones era de 43%). Os chips MediaTek DSP também são usados nos principais smartphones da Xiaomi, Oppo, Realme e Vivo. Os chips MediaTek, baseados em um microprocessador com arquitetura Tensilica Xtensa, são utilizados em smartphones para realizar operações como processamento de áudio, imagem e vídeo, na computação para sistemas de realidade aumentada, visão computacional e aprendizado de máquina, bem como na implementação do modo de carregamento rápido.
Durante a engenharia reversa de firmware para chips MediaTek DSP baseados na plataforma FreeRTOS, diversas maneiras foram identificadas para executar código no lado do firmware e obter controle sobre as operações no DSP enviando solicitações especialmente criadas de aplicativos sem privilégios para a plataforma Android. Exemplos práticos de ataques foram demonstrados em um smartphone Xiaomi Redmi Note 9 5G equipado com um SoC MediaTek MT6853 (Dimensity 800U). Observa-se que os OEMs já receberam correções para as vulnerabilidades na atualização de firmware da MediaTek de outubro.
Entre os ataques que podem ser realizados executando seu código no nível de firmware do chip DSP:
- Escalonamento de privilégios e desvio de segurança - capture furtivamente dados como fotos, vídeos, gravações de chamadas, dados de microfone, dados de GPS, etc.
- Negação de serviço e ações maliciosas - bloqueando o acesso às informações, desativando a proteção contra superaquecimento durante o carregamento rápido.
- Ocultar atividades maliciosas é a criação de componentes maliciosos completamente invisíveis e irremovíveis executados no nível do firmware.
- Anexar tags para rastrear um usuário, como adicionar tags discretas a uma imagem ou vídeo para determinar se os dados postados estão vinculados ao usuário.
Os detalhes da vulnerabilidade no MediaTek Audio HAL ainda não foram divulgados, mas as outras três vulnerabilidades no firmware DSP são causadas pela verificação incorreta de limites ao processar mensagens IPI (Inter-Processor Interrupt) enviadas pelo driver de áudio audio_ipi para o DSP. Esses problemas permitem causar um buffer overflow controlado em manipuladores fornecidos pelo firmware, nos quais as informações sobre o tamanho dos dados transferidos foram retiradas de um campo dentro do pacote IPI, sem verificar o tamanho real localizado na memória compartilhada.
Para acessar o driver durante os experimentos, foram utilizadas chamadas diretas ioctls ou a biblioteca /vendor/lib/hw/audio.primary.mt6853.so, que não está disponível para aplicativos Android regulares. No entanto, os pesquisadores encontraram uma solução alternativa para o envio de comandos com base no uso de opções de depuração disponíveis para aplicativos de terceiros. Esses parâmetros podem ser alterados chamando o serviço AudioManager Android para atacar as bibliotecas MediaTek Aurisys HAL (libfvaudio.so), que fornecem chamadas para interagir com o DSP. Para bloquear esta solução alternativa, a MediaTek removeu a capacidade de usar o comando PARAM_FILE por meio do AudioManager.
Fonte: opennet.ru