Výskumníci z Checkpointu identifikovali tri zraniteľnosti (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) vo firmvéri čipov MediaTek DSP, ako aj zraniteľnosť vo vrstve spracovania zvuku MediaTek Audio HAL (CVE- 2021-0673). Ak sa slabé miesta úspešne zneužijú, útočník môže odpočúvať používateľa z neprivilegovanej aplikácie pre platformu Android.
V roku 2021 predstavuje MediaTek približne 37 % dodávok špecializovaných čipov pre smartfóny a SoC (podľa iných údajov bol v druhom štvrťroku 2021 podiel MediaTeku medzi výrobcami DSP čipov pre smartfóny 43 %). Čipy MediaTek DSP sa používajú aj vo vlajkových smartfónoch spoločností Xiaomi, Oppo, Realme a Vivo. Čipy MediaTek, založené na mikroprocesore s architektúrou Tensilica Xtensa, sa používajú v smartfónoch na vykonávanie operácií, ako je spracovanie zvuku, obrazu a videa, vo výpočtovej technike pre systémy rozšírenej reality, počítačové videnie a strojové učenie, ako aj pri implementácii režimu rýchleho nabíjania.
Počas reverzného inžinierstva firmvéru pre čipy MediaTek DSP založené na platforme FreeRTOS bolo identifikovaných niekoľko spôsobov, ako spustiť kód na strane firmvéru a získať kontrolu nad operáciami v DSP odosielaním špeciálne vytvorených požiadaviek z neprivilegovaných aplikácií pre platformu Android. Praktické príklady útokov boli demonštrované na smartfóne Xiaomi Redmi Note 9 5G vybavenom MediaTek MT6853 (Dimensity 800U) SoC. Je potrebné poznamenať, že výrobcovia OEM už dostali opravy zraniteľností v októbrovej aktualizácii firmvéru MediaTek.
Medzi útokmi, ktoré možno vykonať spustením kódu na úrovni firmvéru čipu DSP:
- Eskalácia privilégií a obídenie zabezpečenia – tajne zachytávajte údaje, ako sú fotografie, videá, nahrávky hovorov, údaje z mikrofónu, údaje GPS atď.
- Odmietnutie služby a škodlivé akcie - zablokovanie prístupu k informáciám, vypnutie ochrany proti prehriatiu počas rýchleho nabíjania.
- Skrytie škodlivej aktivity je vytvorenie úplne neviditeľných a neodstrániteľných škodlivých komponentov vykonávaných na úrovni firmvéru.
- Pripojenie štítkov na sledovanie používateľa, ako je pridanie diskrétnych štítkov k obrázku alebo videu, aby ste potom určili, či sú zverejnené údaje prepojené s používateľom.
Podrobnosti o zraniteľnosti v MediaTek Audio HAL ešte neboli zverejnené, ale ďalšie tri zraniteľnosti vo firmvéri DSP sú spôsobené nesprávnou kontrolou hraníc pri spracovávaní správ IPI (Inter-Processor Interrupt) odoslaných zvukovým ovládačom audio_ipi do DSP. Tieto problémy vám umožňujú spôsobiť riadené pretečenie vyrovnávacej pamäte v obslužných programoch poskytovaných firmvérom, v ktorých sa informácie o veľkosti prenášaných dát získavali z poľa vnútri paketu IPI, bez kontroly skutočnej veľkosti umiestnenej v zdieľanej pamäti.
Na prístup k ovládaču počas experimentov boli použité priame volania ioctls alebo knižnica /vendor/lib/hw/audio.primary.mt6853.so, ktoré nie sú dostupné pre bežné Android aplikácie. Výskumníci však našli riešenie na odosielanie príkazov založené na použití možností ladenia dostupných pre aplikácie tretích strán. Tieto parametre je možné zmeniť zavolaním služby AudioManager Android na napadnutie knižníc MediaTek Aurisys HAL (libfvaudio.so), ktoré poskytujú volania na interakciu s DSP. Aby sa toto riešenie zablokovalo, MediaTek odstránil možnosť používať príkaz PARAM_FILE cez AudioManager.
Zdroj: opennet.ru