Panaliti ti Checkpoint parantos ngaidentipikasi tilu kerentanan (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) dina firmware chip MediaTek DSP, ogé kerentanan dina lapisan pamrosesan audio MediaTek Audio HAL (CVE- 2021-0673). Upami kerentanan suksés dieksploitasi, panyerang tiasa nguping pangguna tina aplikasi anu teu dipikabutuh pikeun platform Android.
Dina taun 2021, MediaTek ngitung sakitar 37% tina kiriman chip khusus pikeun smartphone sareng SoCs (nurutkeun data sanésna, dina kuartal kadua 2021, pangsa MediaTek diantara produsén chip DSP pikeun smartphone nyaéta 43%). Chip MediaTek DSP ogé dianggo dina smartphone unggulan ku Xiaomi, Oppo, Realme sareng Vivo. Chip MediaTek, dumasar kana mikroprosesor sareng arsitéktur Tensilica Xtensa, dianggo dina smartphone pikeun ngalakukeun operasi sapertos audio, gambar sareng pamrosésan pidéo, dina komputasi pikeun sistem realitas tambahan, visi komputer sareng pembelajaran mesin, ogé dina ngalaksanakeun mode ngecas gancang.
Salila rékayasa sabalikna tina firmware pikeun chip MediaTek DSP dumasar kana platform FreeRTOS, sababaraha cara diidentifikasi pikeun ngaéksekusi kode dina sisi firmware sareng kéngingkeun kontrol kana operasi di DSP ku ngirim pamundut anu didamel khusus tina aplikasi anu teu gaduh hak istimewa pikeun platform Android. Conto praktis serangan ditingalikeun dina smartphone Xiaomi Redmi Note 9 5G anu dilengkepan ku MediaTek MT6853 (Dimensi 800U) SoC. Perhatikeun yén OEM parantos nampi perbaikan pikeun kerentanan dina pembaruan firmware MediaTek Oktober.
Diantara serangan anu tiasa dilakukeun ku ngajalankeun kode anjeun dina tingkat firmware chip DSP:
- Escalation hak husus sarta bypass kaamanan - stealthily néwak data kayaning poto, video, rekaman panggero, data mikropon, data GPS, jsb.
- Panolakan jasa sareng tindakan jahat - ngahalangan aksés inpormasi, nganonaktipkeun panyalindungan overheating nalika ngecas gancang.
- Nyumputkeun kagiatan jahat nyaéta nyiptakeun komponén jahat anu teu katingali sareng teu tiasa dicabut dieksekusi dina tingkat firmware.
- Ngagantelkeun tag pikeun ngalacak pangguna, sapertos nambihan tag wijaksana kana gambar atanapi pidéo pikeun teras nangtoskeun naha data anu dipasang dikaitkeun ka pangguna.
Rincian kerentanan dina MediaTek Audio HAL henteu acan diungkabkeun, tapi tilu kerentanan sanésna dina firmware DSP disababkeun ku pamariksaan wates anu salah nalika ngolah pesen IPI (Inter-Processor Interrupt) anu dikirim ku supir audio audio_ipi ka DSP. Masalah ieu ngidinan Anjeun pikeun ngabalukarkeun overflow panyangga dikawasa dina pawang disadiakeun ku firmware, nu informasi ngeunaan ukuran data ditransfer dicokot tina widang jero pakét IPI, tanpa pariksa ukuran sabenerna lokasina di memori dibagikeun.
Pikeun ngaksés supir salami ékspérimén, sauran langsung ioctls atanapi perpustakaan /vendor/lib/hw/audio.primary.mt6853.so, anu henteu sayogi pikeun aplikasi Android biasa, dianggo. Tapi, panalungtik geus manggihan hiji workaround pikeun ngirim paréntah dumasar kana pamakéan pilihan debugging sadia pikeun aplikasi pihak katilu. Parameter ieu tiasa dirobih ku nelepon jasa AudioManager Android pikeun nyerang perpustakaan MediaTek Aurisys HAL (libfvaudio.so), anu nyayogikeun telepon pikeun berinteraksi sareng DSP. Pikeun meungpeuk workaround ieu, MediaTek parantos ngaleungitkeun kamampuan nganggo paréntah PARAM_FILE ngalangkungan AudioManager.
sumber: opennet.ru