Forskare från Checkpoint har identifierat tre sårbarheter (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) i den fasta programvaran för MediaTek DSP-chips, samt en sårbarhet i MediaTek Audio HAL-ljudbehandlingslagret (CVE- 2021-0673). Om sårbarheterna lyckas utnyttjas kan en angripare avlyssna en användare från en oprivilegierad applikation för Android-plattformen.
År 2021 står MediaTek för cirka 37 % av leveranserna av specialiserade chips för smartphones och SoCs (enligt andra uppgifter, under andra kvartalet 2021 var MediaTeks andel bland tillverkare av DSP-chips för smartphones 43%). MediaTek DSP-chips används också i flaggskeppssmartphones av Xiaomi, Oppo, Realme och Vivo. MediaTek-chips, baserade på en mikroprocessor med Tensilica Xtensa-arkitektur, används i smartphones för att utföra operationer som ljud-, bild- och videobehandling, vid datoranvändning för augmented reality-system, datorseende och maskininlärning, samt för att implementera snabbladdningsläge.
Under omvänd konstruktion av firmware för MediaTek DSP-chips baserade på FreeRTOS-plattformen identifierades flera sätt att exekvera kod på firmwaresidan och få kontroll över operationer i DSP:n genom att skicka specialgjorda förfrågningar från oprivilegierade applikationer för Android-plattformen. Praktiska exempel på attacker demonstrerades på en Xiaomi Redmi Note 9 5G-smarttelefon utrustad med en MediaTek MT6853 (Dimensity 800U) SoC. Det noteras att OEM-tillverkare redan har fått korrigeringar för sårbarheterna i MediaTek-firmwareuppdateringen i oktober.
Bland attackerna som kan utföras genom att exekvera din kod på firmwarenivån för DSP-chippet:
- Privilegiumupptrappning och säkerhetsförbikoppling - fånga smygande data som foton, videor, samtalsinspelningar, mikrofondata, GPS-data, etc.
- Denial of service och skadliga åtgärder - blockerar åtkomst till information, inaktiverar överhettningsskydd under snabbladdning.
- Att dölja skadlig aktivitet är skapandet av helt osynliga och outtagbara skadliga komponenter som körs på firmwarenivå.
- Bifoga taggar för att spåra en användare, till exempel att lägga till diskreta taggar till en bild eller video för att sedan avgöra om den postade informationen är länkad till användaren.
Detaljer om sårbarheten i MediaTek Audio HAL har ännu inte avslöjats, men de andra tre sårbarheterna i DSP-firmwaren orsakas av felaktig gränskontroll vid behandling av IPI-meddelanden (Inter-Processor Interrupt) som skickas av audio_ipi-ljuddrivrutinen till DSP. Dessa problem gör att du kan orsaka ett kontrollerat buffertspill i hanterare som tillhandahålls av firmware, där information om storleken på överförd data togs från ett fält inuti IPI-paketet, utan att kontrollera den faktiska storleken som finns i delat minne.
För att komma åt drivrutinen under experimenten användes direkta ioctls-anrop eller biblioteket /vendor/lib/hw/audio.primary.mt6853.so, som inte är tillgängliga för vanliga Android-applikationer. Men forskare har hittat en lösning för att skicka kommandon baserat på användningen av felsökningsalternativ som är tillgängliga för tredjepartsapplikationer. Dessa parametrar kan ändras genom att anropa AudioManager Android-tjänsten för att attackera MediaTek Aurisys HAL-bibliotek (libfvaudio.so), som ger samtal för att interagera med DSP. För att blockera denna lösning har MediaTek tagit bort möjligheten att använda kommandot PARAM_FILE via AudioManager.
Källa: opennet.ru