Studiuesit nga Checkpoint kanë identifikuar tre dobësi (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) në firmuerin e çipave MediaTek DSP, si dhe një dobësi në shtresën e përpunimit audio MediaTek Audio HAL (CVE- 2021- 0673). Nëse dobësitë shfrytëzohen me sukses, një sulmues mund të përgjojë një përdorues nga një aplikacion i paprivilegjuar për platformën Android.
Në vitin 2021, MediaTek përbën afërsisht 37% të dërgesave të çipave të specializuar për telefonat inteligjentë dhe SoC (sipas të dhënave të tjera, në tremujorin e dytë të 2021, pjesa e MediaTek midis prodhuesve të çipave DSP për telefonat inteligjentë ishte 43%). Çipat MediaTek DSP përdoren gjithashtu në telefonat inteligjentë kryesorë nga Xiaomi, Oppo, Realme dhe Vivo. Çipat MediaTek, të bazuara në një mikroprocesor me arkitekturë Tensilica Xtensa, përdoren në telefonat inteligjentë për të kryer operacione të tilla si përpunimi audio, imazhi dhe video, në llogaritjen për sistemet e realitetit të shtuar, vizionin kompjuterik dhe mësimin e makinerive, si dhe në zbatimin e modalitetit të karikimit të shpejtë.
Gjatë inxhinierisë së kundërt të firmuerit për çipat MediaTek DSP bazuar në platformën FreeRTOS, u identifikuan disa mënyra për të ekzekutuar kodin në anën e firmuerit dhe për të fituar kontrollin mbi operacionet në DSP duke dërguar kërkesa të krijuara posaçërisht nga aplikacione të paprivilegjuara për platformën Android. Shembuj praktikë të sulmeve u demonstruan në një smartphone Xiaomi Redmi Note 9 5G të pajisur me një SoC MediaTek MT6853 (Dimensity 800U). Vihet re se OEM-të kanë marrë tashmë rregullime për dobësitë në përditësimin e firmuerit MediaTek në tetor.
Ndër sulmet që mund të kryhen duke ekzekutuar kodin tuaj në nivelin e firmuerit të çipit DSP:
- Përshkallëzimi i privilegjeve dhe anashkalimi i sigurisë - kapni në mënyrë të fshehtë të dhëna të tilla si foto, video, regjistrime thirrjesh, të dhëna mikrofoni, të dhëna GPS, etj.
- Mohimi i shërbimit dhe veprimet me qëllim të keq - bllokimi i aksesit në informacion, çaktivizimi i mbrojtjes nga mbinxehja gjatë karikimit të shpejtë.
- Fshehja e aktivitetit me qëllim të keq është krijimi i komponentëve me qëllim të keq plotësisht të padukshëm dhe të paheqshëm të ekzekutuar në nivelin e firmuerit.
- Bashkëngjitja e etiketave për të gjurmuar një përdorues, si shtimi i etiketave diskrete në një imazh ose video për të përcaktuar më pas nëse të dhënat e postuara janë të lidhura me përdoruesin.
Detajet e cenueshmërisë në MediaTek Audio HAL nuk janë zbuluar ende, por tre dobësitë e tjera në firmuerin DSP shkaktohen nga kontrollimi i gabuar i kufijve gjatë përpunimit të mesazheve IPI (Inter-Processor Interrupt) të dërguara nga drejtuesi audio_ipi në DSP. Këto probleme ju lejojnë të shkaktoni një tejmbushje të kontrolluar të tamponit në mbajtësit e ofruar nga firmware, në të cilin informacioni për madhësinë e të dhënave të transferuara u mor nga një fushë brenda paketës IPI, pa kontrolluar madhësinë aktuale të vendosur në memorien e përbashkët.
Për të aksesuar drejtuesin gjatë eksperimenteve, u përdorën thirrje direkte ioctls ose biblioteka /vendor/lib/hw/audio.primary.mt6853.so, të cilat nuk janë të disponueshme për aplikacionet e rregullta Android. Megjithatë, studiuesit kanë gjetur një zgjidhje për dërgimin e komandave bazuar në përdorimin e opsioneve të korrigjimit të disponueshme për aplikacionet e palëve të treta. Këto parametra mund të ndryshohen duke telefonuar shërbimin AudioManager Android për të sulmuar bibliotekat MediaTek Aurisys HAL (libfvaudio.so), të cilat ofrojnë thirrje për të ndërvepruar me DSP. Për të bllokuar këtë zgjidhje, MediaTek ka hequr aftësinë për të përdorur komandën PARAM_FILE përmes AudioManager.
Burimi: opennet.ru