Checkpoint tadqiqotchilari MediaTek DSP chiplari proshivkalarida uchta zaiflikni (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663), shuningdek MediaTek Audio HAL audio ishlov berish qatlamida (CVE-) zaiflikni aniqladilar. 2021-0673). Agar zaifliklardan muvaffaqiyatli foydalanilsa, tajovuzkor Android platformasi uchun imtiyozsiz ilovadan foydalanuvchini tinglashi mumkin.
2021 yilda MediaTek smartfonlar va SoC uchun ixtisoslashtirilgan chiplar yetkazib berishning taxminan 37 foizini tashkil qiladi (boshqa maʼlumotlarga koʻra, 2021 yilning ikkinchi choragida MediaTekning smartfonlar uchun DSP chiplari ishlab chiqaruvchilari oʻrtasidagi ulushi 43 foizni tashkil etgan). MediaTek DSP chiplari Xiaomi, Oppo, Realme va Vivo kompaniyalarining flagman smartfonlarida ham qo'llaniladi. Tensilica Xtensa arxitekturasiga ega mikroprotsessorga asoslangan MediaTek chiplari smartfonlarda audio, tasvir va videolarni qayta ishlash kabi operatsiyalarda, kengaytirilgan reallik tizimlarini hisoblashda, kompyuterni ko'rish va mashinani o'rganishda, shuningdek, tez zaryadlash rejimini joriy qilishda qo'llaniladi.
FreeRTOS platformasi asosida MediaTek DSP chiplari uchun proshivkani teskari muhandislik qilish jarayonida Android platformasi uchun imtiyozsiz ilovalardan maxsus tayyorlangan so'rovlarni yuborish orqali proshivka tomonida kodni bajarish va DSPdagi operatsiyalarni nazorat qilishning bir necha usullari aniqlandi. Hujumlarning amaliy misollari MediaTek MT9 (Dimensity 5U) SoC bilan jihozlangan Xiaomi Redmi Note 6853 800G smartfonida namoyish etildi. Qayd etilishicha, OEM’lar allaqachon oktyabr oyida MediaTek proshivka yangilanishidagi zaifliklar uchun tuzatishlar olgan.
DSP chipining proshivka darajasida kodingizni bajarish orqali amalga oshirilishi mumkin bo'lgan hujumlar orasida:
- Imtiyozlarni oshirish va xavfsizlikni chetlab o'tish - fotosuratlar, videolar, qo'ng'iroqlar yozuvlari, mikrofon ma'lumotlari, GPS ma'lumotlari va boshqalar kabi ma'lumotlarni yashirincha qo'lga kiriting.
- Xizmatni rad etish va zararli harakatlar - ma'lumotlarga kirishni blokirovka qilish, tez zaryadlash vaqtida haddan tashqari issiqlikdan himoya qilishni o'chirish.
- Zararli faoliyatni yashirish - bu proshivka darajasida bajariladigan butunlay ko'rinmas va olib tashlanmaydigan zararli komponentlarni yaratish.
- Foydalanuvchini kuzatish uchun teglarni biriktirish, masalan, rasm yoki videoga yashirin teglar qo'shish, keyin esa joylashtirilgan ma'lumotlarning foydalanuvchi bilan bog'langanligini aniqlash.
MediaTek Audio HAL-dagi zaiflik tafsilotlari hali oshkor etilmagan, ammo DSP proshivkasining qolgan uchta zaifligi audio_ipi audio drayveri tomonidan DSPga yuborilgan IPI (Inter-processor Interrupt) xabarlarini qayta ishlashda chegarani noto'g'ri tekshirish natijasida yuzaga kelgan. Ushbu muammolar proshivka tomonidan taqdim etilgan ishlov beruvchilarda boshqariladigan buferni to'ldirishga imkon beradi, bunda uzatilgan ma'lumotlar hajmi haqidagi ma'lumotlar umumiy xotirada joylashgan haqiqiy hajmni tekshirmasdan IPI paketi ichidagi maydondan olingan.
Tajribalar davomida drayverga kirish uchun to'g'ridan-to'g'ri ioctls qo'ng'iroqlari yoki oddiy Android ilovalarida mavjud bo'lmagan /vendor/lib/hw/audio.primary.mt6853.so kutubxonasidan foydalanilgan. Biroq, tadqiqotchilar uchinchi tomon ilovalari uchun mavjud disk raskadrovka opsiyalaridan foydalanishga asoslangan buyruqlarni yuborish uchun vaqtinchalik yechim topdilar. Ushbu parametrlarni AudioManager Android xizmatiga qo'ng'iroq qilib, DSP bilan o'zaro aloqa qilish uchun qo'ng'iroqlarni ta'minlaydigan MediaTek Aurisys HAL kutubxonalariga (libfvaudio.so) hujum qilish orqali o'zgartirish mumkin. Ushbu vaqtinchalik yechimni bloklash uchun MediaTek AudioManager orqali PARAM_FILE buyrug'idan foydalanish imkoniyatini olib tashladi.
Manba: opennet.ru