Raziskovalci iz Checkpointa so odkrili tri ranljivosti (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) v vdelani programski opremi čipov MediaTek DSP, kot tudi ranljivost v sloju za obdelavo zvoka MediaTek Audio HAL (CVE- 2021- 0673). Če so ranljivosti uspešno izkoriščene, lahko napadalec uporabniku prisluškuje iz neprivilegirane aplikacije za platformo Android.
Leta 2021 MediaTek predstavlja približno 37 % pošiljk specializiranih čipov za pametne telefone in SoC (po drugih podatkih je bil v drugem četrtletju 2021 delež MediaTeka med proizvajalci DSP čipov za pametne telefone 43 %). Čipe MediaTek DSP uporabljajo tudi v vodilnih pametnih telefonih Xiaomi, Oppo, Realme in Vivo. Čipi MediaTek, ki temeljijo na mikroprocesorju z arhitekturo Tensilica Xtensa, se uporabljajo v pametnih telefonih za izvajanje operacij, kot so obdelava zvoka, slike in videa, v računalništvu za sisteme obogatene resničnosti, računalniški vid in strojno učenje, pa tudi pri izvajanju načina hitrega polnjenja.
Med obratnim inženiringom vdelane programske opreme za čipe MediaTek DSP, ki temeljijo na platformi FreeRTOS, je bilo ugotovljenih več načinov za izvajanje kode na strani vdelane programske opreme in pridobitev nadzora nad operacijami v DSP s pošiljanjem posebej oblikovanih zahtev iz neprivilegiranih aplikacij za platformo Android. Praktični primeri napadov so bili prikazani na pametnem telefonu Xiaomi Redmi Note 9 5G, opremljenem s procesorjem MediaTek MT6853 (Dimensity 800U) SoC. Opozoriti je treba, da so proizvajalci originalne opreme že prejeli popravke za ranljivosti v oktobrski posodobitvi vdelane programske opreme MediaTek.
Med napadi, ki jih je mogoče izvesti z izvajanjem vaše kode na ravni vdelane programske opreme čipa DSP:
- Stopnjevanje privilegijev in varnostni obvod - prikrito zajemanje podatkov, kot so fotografije, videi, posnetki klicev, podatki mikrofona, podatki GPS itd.
- Zavrnitev storitve in zlonamerna dejanja - blokiranje dostopa do informacij, onemogočanje zaščite pred pregrevanjem med hitrim polnjenjem.
- Skrivanje zlonamerne dejavnosti je ustvarjanje popolnoma nevidnih in neodstranljivih zlonamernih komponent, ki se izvajajo na ravni vdelane programske opreme.
- Pripenjanje oznak za sledenje uporabniku, na primer dodajanje diskretnih oznak sliki ali videu, da se nato ugotovi, ali so objavljeni podatki povezani z uporabnikom.
Podrobnosti o ranljivosti v MediaTek Audio HAL še niso bile razkrite, druge tri ranljivosti v vdelani programski opremi DSP pa povzroča nepravilno preverjanje meja pri obdelavi sporočil IPI (Inter-Processor Interrupt), ki jih zvočni gonilnik audio_ipi pošlje v DSP. Te težave vam omogočajo, da povzročite nadzorovano prekoračitev medpomnilnika v obdelovalcih, ki jih zagotavlja vdelana programska oprema, pri katerih so bile informacije o velikosti prenesenih podatkov vzete iz polja znotraj paketa IPI, ne da bi preverili dejansko velikost v skupnem pomnilniku.
Za dostop do gonilnika med poskusi so bili uporabljeni neposredni klici ioctls ali knjižnica /vendor/lib/hw/audio.primary.mt6853.so, ki nista na voljo običajnim aplikacijam za Android. Vendar pa so raziskovalci našli rešitev za pošiljanje ukazov, ki temelji na uporabi možnosti odpravljanja napak, ki so na voljo aplikacijam tretjih oseb. Te parametre je mogoče spremeniti s klicem storitve AudioManager Android za napad na knjižnice MediaTek Aurisys HAL (libfvaudio.so), ki zagotavljajo klice za interakcijo z DSP. Da bi blokiral to rešitev, je MediaTek odstranil možnost uporabe ukaza PARAM_FILE prek programa AudioManager.
Vir: opennet.ru