Checkpoint的研究人员发现了MediaTek DSP芯片固件中的三个漏洞(CVE-2021-0661、CVE-2021-0662、CVE-2021-0663),以及MediaTek Audio HAL音频处理层中的漏洞(CVE- 2021-0673)。 如果成功利用这些漏洞,攻击者就可以从 Android 平台的非特权应用程序中窃听用户。
2021年,联发科约占智能手机和SoC专用芯片出货量的37%(其他数据显示,2021年第二季度,联发科在智能手机DSP芯片制造商中的份额为43%)。 联发科 DSP 芯片还用于小米、Oppo、Realme 和 Vivo 的旗舰智能手机。 联发科芯片基于 Tensilica Xtensa 架构的微处理器,用于智能手机执行音频、图像和视频处理等操作,用于增强现实系统、计算机视觉和机器学习的计算,以及实现快速充电模式。
在对基于 FreeRTOS 平台的 MediaTek DSP 芯片固件进行逆向工程期间,确定了多种在固件端执行代码并通过从 Android 平台的非特权应用程序发送特制请求来控制 DSP 操作的方法。 在配备联发科技 MT9(天玑 5U)SoC 的小米红米 Note 6853 800G 智能手机上演示了实际的攻击示例。 值得注意的是,OEM厂商已经在XNUMX月份的联发科固件更新中收到了针对该漏洞的修复。
通过在 DSP 芯片的固件级别执行代码可以实施以下攻击:
- 提权和安全绕过——偷偷捕获照片、视频、通话录音、麦克风数据、GPS数据等数据。
- 拒绝服务和恶意行为 - 阻止对信息的访问,在快速充电期间禁用过热保护。
- 隐藏恶意活动是指创建在固件级别执行的完全不可见且不可删除的恶意组件。
- 附加标签来跟踪用户,例如向图像或视频添加谨慎的标签,然后确定发布的数据是否链接到用户。
MediaTek Audio HAL 中的漏洞细节尚未披露,但 DSP 固件中的其他三个漏洞是由于在处理由 audio_ipi 音频驱动程序发送到 DSP 的 IPI(处理器间中断)消息时不正确的边界检查导致的。 这些问题允许您在固件提供的处理程序中导致受控缓冲区溢出,其中有关传输数据大小的信息是从 IPI 数据包内的字段获取的,而不检查共享内存中的实际大小。
为了在实验期间访问驱动程序,使用了直接 ioctl 调用或 /vendor/lib/hw/audio.primary.mt6853.so 库(常规 Android 应用程序无法使用这些库)。 然而,研究人员找到了一种基于使用第三方应用程序可用的调试选项来发送命令的解决方法。 这些参数可以通过调用 AudioManager Android 服务来攻击 MediaTek Aurisys HAL 库 (libfvaudio.so) 来更改,该库提供与 DSP 交互的调用。 为了阻止此解决方法,MediaTek 删除了通过 AudioManager 使用 PARAM_FILE 命令的功能。
来源: opennet.ru