چیک پوائنٹ کے محققین نے MediaTek DSP چپس کے فرم ویئر میں تین کمزوریوں (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) کے ساتھ ساتھ میڈیا ٹیک آڈیو HAL آڈیو پروسیسنگ پرت (CVE-) میں ایک کمزوری کی نشاندہی کی ہے۔ 2021-0673)۔ اگر کمزوریوں کا کامیابی سے فائدہ اٹھایا جاتا ہے، تو حملہ آور اینڈرائیڈ پلیٹ فارم کے لیے ایک غیر مراعات یافتہ ایپلی کیشن سے صارف کو چھپ سکتا ہے۔
2021 میں، میڈیا ٹیک اسمارٹ فونز اور SoCs کے لیے خصوصی چپس کی ترسیل کا تقریباً 37% حصہ بناتا ہے (دیگر ڈیٹا کے مطابق، 2021 کی دوسری سہ ماہی میں، اسمارٹ فونز کے لیے DSP چپس بنانے والوں میں میڈیا ٹیک کا حصہ 43% تھا)۔ MediaTek DSP چپس بھی Xiaomi، Oppo، Realme اور Vivo کے فلیگ شپ اسمارٹ فونز میں استعمال ہوتی ہیں۔ میڈیا ٹیک چپس، Tensilica Xtensa فن تعمیر کے ساتھ مائکرو پروسیسر پر مبنی، سمارٹ فونز میں آڈیو، امیج اور ویڈیو پروسیسنگ جیسے کاموں کو انجام دینے کے لیے استعمال کی جاتی ہیں، اضافہ شدہ حقیقت کے نظام کے لیے کمپیوٹنگ، کمپیوٹر ویژن اور مشین لرننگ کے ساتھ ساتھ فاسٹ چارجنگ موڈ کو نافذ کرنے میں۔
FreeRTOS پلیٹ فارم پر مبنی MediaTek DSP چپس کے لیے فرم ویئر کی ریورس انجینئرنگ کے دوران، فرم ویئر کی طرف کوڈ پر عمل درآمد کرنے اور Android پلیٹ فارم کے لیے غیر مراعات یافتہ ایپلی کیشنز سے خصوصی طور پر تیار کردہ درخواستیں بھیج کر DSP میں آپریشنز پر کنٹرول حاصل کرنے کے لیے کئی طریقوں کی نشاندہی کی گئی۔ حملوں کی عملی مثالیں میڈیا ٹیک MT9 (Dimensity 5U) SoC سے لیس Xiaomi Redmi Note 6853 800G اسمارٹ فون پر دکھائی گئیں۔ یہ نوٹ کیا جاتا ہے کہ OEMs کو اکتوبر کے MediaTek فرم ویئر اپ ڈیٹ میں پہلے ہی کمزوریوں کے لیے اصلاحات مل چکی ہیں۔
DSP چپ کے فرم ویئر کی سطح پر آپ کے کوڈ پر عمل درآمد کرکے کیے جانے والے حملوں میں سے:
- استحقاق میں اضافہ اور سیکیورٹی بائی پاس - چوری چھپے ڈیٹا کیپچر کریں جیسے فوٹوز، ویڈیوز، کال ریکارڈنگز، مائیکروفون ڈیٹا، GPS ڈیٹا وغیرہ۔
- سروس سے انکار اور بدنیتی پر مبنی اقدامات - معلومات تک رسائی کو مسدود کرنا، تیز چارجنگ کے دوران زیادہ گرمی سے تحفظ کو غیر فعال کرنا۔
- بدنیتی پر مبنی سرگرمی کو چھپانا فرم ویئر کی سطح پر مکمل طور پر غیر مرئی اور ناقابل ہٹانے والے نقصان دہ اجزاء کی تخلیق ہے۔
- کسی صارف کو ٹریک کرنے کے لیے ٹیگز منسلک کرنا، جیسے کہ کسی تصویر یا ویڈیو میں سمجھدار ٹیگز شامل کرنا اس بات کا تعین کرنے کے لیے کہ آیا پوسٹ کردہ ڈیٹا صارف سے منسلک ہے یا نہیں۔
MediaTek Audio HAL میں کمزوری کی تفصیلات ابھی تک ظاہر نہیں کی گئی ہیں، لیکن DSP فرم ویئر میں دیگر تین کمزوریاں آڈیو_ipi آڈیو ڈرائیور کے ذریعے DSP کو بھیجے گئے IPI (انٹر پروسیسر انٹرپٹ) پیغامات پر کارروائی کرتے وقت غلط باؤنڈری چیکنگ کی وجہ سے ہوتی ہیں۔ یہ مسائل آپ کو فرم ویئر کے ذریعہ فراہم کردہ ہینڈلرز میں ایک کنٹرول شدہ بفر اوور فلو کا سبب بننے کی اجازت دیتے ہیں، جس میں مشترکہ میموری میں واقع اصل سائز کی جانچ کیے بغیر، منتقل کردہ ڈیٹا کے سائز کے بارے میں معلومات IPI پیکٹ کے اندر کی فیلڈ سے لی گئی تھی۔
تجربات کے دوران ڈرائیور تک رسائی حاصل کرنے کے لیے، براہ راست ioctls کالز یا /vendor/lib/hw/audio.primary.mt6853.so لائبریری، جو کہ باقاعدہ اینڈرائیڈ ایپلی کیشنز کے لیے دستیاب نہیں ہیں، استعمال کی گئیں۔ تاہم، محققین نے تیسری پارٹی کے ایپلی کیشنز کے لیے دستیاب ڈیبگنگ آپشنز کے استعمال کی بنیاد پر کمانڈز بھیجنے کے لیے ایک حل تلاش کیا ہے۔ MediaTek Aurisys HAL لائبریریوں (libfvaudio.so) پر حملہ کرنے کے لیے AudioManager Android سروس کو کال کرکے ان پیرامیٹرز کو تبدیل کیا جا سکتا ہے، جو DSP کے ساتھ بات چیت کرنے کے لیے کال فراہم کرتی ہے۔ اس کام کو روکنے کے لیے، MediaTek نے AudioManager کے ذریعے PARAM_FILE کمانڈ استعمال کرنے کی صلاحیت کو ہٹا دیا ہے۔
ماخذ: opennet.ru