কিছু আগে দিন চেকপয়েন্ট গবেষকদের মুক্তি খবর যে তারা তিনটি দুর্বলতা চিহ্নিত করেছে (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) MediaTek DSP চিপসের ফার্মওয়্যারে, সেইসাথে MediaTek অডিও HAL (CVE-2021-0673) এর অডিও প্রসেসিং স্তরের একটি দুর্বলতা। দুর্বলতাগুলির একটি সফল শোষণের ক্ষেত্রে, একজন আক্রমণকারী Android প্ল্যাটফর্মের জন্য একটি অ-সুবিধাবিহীন অ্যাপ্লিকেশন থেকে ব্যবহারকারীর গোপন কথা শোনার ব্যবস্থা করতে পারে৷
2021- তে, প্রায় 37% জন্য মিডিয়াটেক অ্যাকাউন্ট জন্য বিশেষ চিপ এর চালান স্মার্টফোন এবং SoCs (অন্যান্য তথ্য অনুসারে, 2021 সালের দ্বিতীয় ত্রৈমাসিকে, স্মার্টফোনের জন্য ডিএসপি চিপ নির্মাতাদের মধ্যে মিডিয়াটেকের শেয়ার ছিল 43%)।
অন্যান্য জিনিসের মধ্যে, মিডিয়াটেক ডিএসপি চিপস এগুলি Xiaomi, Oppo, Realme এবং Vivo-এর ফ্ল্যাগশিপ স্মার্টফোনগুলিতে ব্যবহৃত হয়। টেনসিলিকা এক্সটেনসা মাইক্রোপ্রসেসরের উপর ভিত্তি করে মিডিয়াটেক চিপগুলি স্মার্টফোনে ব্যবহার করা হয় শব্দ, চিত্র এবং ভিডিও প্রক্রিয়াকরণের মতো ক্রিয়াকলাপ সম্পাদন করতে, অগমেন্টেড রিয়েলিটি সিস্টেমের জন্য কম্পিউটিং, কম্পিউটার ভিশন এবং মেশিন লার্নিং, সেইসাথে চার্জিং কার্যকর করতে।
ডিএসপি চিপসের জন্য রিভার্স ইঞ্জিনিয়ারিং ফার্মওয়্যার FreeRTOS প্ল্যাটফর্মের উপর ভিত্তি করে MediaTek থেকে ফার্মওয়্যার সাইডে কোড চালানোর এবং ডিএসপি অপারেশনের উপর নিয়ন্ত্রণ পাওয়ার বিভিন্ন উপায় প্রকাশ করেছে Android প্ল্যাটফর্মের জন্য অ-সুবিধাপ্রাপ্ত অ্যাপ্লিকেশনগুলি থেকে বিশেষভাবে তৈরি করা অনুরোধ পাঠানোর মাধ্যমে।
মিডিয়াটেক MT9 SoC (Dimensity 5U) দিয়ে সজ্জিত Xiaomi Redmi Note 6853 800G-তে আক্রমণের বাস্তব উদাহরণ দেখানো হয়েছে। এটি উল্লেখ্য যে OEMs ইতিমধ্যে MediaTek এর অক্টোবর ফার্মওয়্যার আপডেটে দুর্বলতার সমাধান পেয়েছে।
আমাদের গবেষণার লক্ষ্য হল Android Audio DSP আক্রমণ করার উপায় খুঁজে বের করা। প্রথমত, আমাদের বুঝতে হবে অ্যাপ্লিকেশান প্রসেসরে (AP) চলমান অ্যান্ড্রয়েড কীভাবে অডিও প্রসেসরের সাথে যোগাযোগ করে। স্পষ্টতই, একটি কন্ট্রোলার থাকতে হবে যেটি অ্যান্ড্রয়েড ব্যবহারকারী স্থান থেকে অনুরোধের জন্য অপেক্ষা করে এবং তারপরে কিছু ধরণের আন্তঃপ্রসেসর যোগাযোগ (আইপিসি) ব্যবহার করে এই অনুরোধগুলি প্রক্রিয়াকরণের জন্য ডিএসপির কাছে ফরোয়ার্ড করে।
আমরা একটি পরীক্ষা ডিভাইস হিসাবে MT9 (ডাইমেনসিটি 5U) চিপসেটের উপর ভিত্তি করে একটি রুট করা Xiaomi Redmi Note 6853 800G স্মার্টফোন ব্যবহার করেছি। অপারেটিং সিস্টেম হল MIUI Global 12.5.2.0 (Android 11 RP1A.200720.011)।
যেহেতু ডিভাইসটিতে শুধুমাত্র কয়েকটি মিডিয়া সম্পর্কিত ড্রাইভার রয়েছে, তাই AP এবং DSP-এর মধ্যে যোগাযোগের জন্য দায়ী ড্রাইভার খুঁজে পাওয়া কঠিন ছিল না।
ডিএসপি চিপের ফার্মওয়্যার স্তরে এর কোডটি কার্যকর করার মাধ্যমে যে আক্রমণগুলি চালানো যেতে পারে তার মধ্যে:
- অ্যাক্সেস কন্ট্রোল সিস্টেম বাইপাস এবং বিশেষাধিকার বৃদ্ধি: ফটো, ভিডিও, কল রেকর্ডিং, মাইক্রোফোন, জিপিএস ইত্যাদির মতো ডেটার অদৃশ্য ক্যাপচার।
- পরিষেবা অস্বীকার এবং দূষিত কর্ম: তথ্য অ্যাক্সেস ব্লক, দ্রুত চার্জিং সময় অতিরিক্ত গরম সুরক্ষা নিষ্ক্রিয়.
- ক্ষতিকারক কার্যকলাপ লুকান - ফার্মওয়্যার স্তরে চালিত সম্পূর্ণ অদৃশ্য এবং অদৃশ্য দূষিত উপাদানগুলি তৈরি করুন৷
- একটি ব্যবহারকারীর উপর গুপ্তচরবৃত্তি করার জন্য ট্যাগ সংযুক্ত করুন, যেমন একটি চিত্র বা ভিডিওতে সূক্ষ্ম ট্যাগ যোগ করা এবং তারপর ব্যবহারকারীর সাথে পোস্ট করা ডেটা লিঙ্ক করা।
মিডিয়াটেক অডিও এইচএএল-এর দুর্বলতার বিবরণ এখনও প্রকাশ করা হয়নি, কিন্তু আমিতিনটি অন্যান্য দুর্বলতা হিসাবে ডিএসপি ফার্মওয়্যারে আইপিআই বার্তা প্রক্রিয়াকরণের সময় একটি ভুল প্রান্ত চেক দ্বারা সৃষ্ট হয় (Inter-Processor Interrupt) audio_ipi অডিও ড্রাইভার দ্বারা ডিএসপিকে পাঠানো হয়।
এই সমস্যাগুলি ফার্মওয়্যার দ্বারা প্রদত্ত হ্যান্ডলারগুলিতে একটি নিয়ন্ত্রিত বাফার ওভারফ্লো ঘটানো সম্ভব করে, যেখানে ভাগ করা মেমরিতে বরাদ্দকৃত প্রকৃত আকার যাচাই না করে, আইপিআই প্যাকেটের মধ্যে একটি ক্ষেত্র থেকে প্রেরণ করা ডেটার আকার সম্পর্কে তথ্য নেওয়া হয়েছিল। .
পরীক্ষার সময় কন্ট্রোলার অ্যাক্সেস করতে, আমরা সরাসরি ioctls কল বা /vendor/lib/hw/audio.primary.mt6853.so লাইব্রেরি ব্যবহার করি, যা নিয়মিত অ্যান্ড্রয়েড অ্যাপগুলিতে অ্যাক্সেসযোগ্য নয়। যাইহোক, গবেষকরা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে উপলব্ধ ডিবাগিং বিকল্পগুলির ব্যবহারের উপর ভিত্তি করে কমান্ড পাঠানোর একটি সমাধান খুঁজে পেয়েছেন।
MediaTek Aurisys HAL লাইব্রেরি (libfvaudio.so) আক্রমণ করার জন্য Android AudioManager পরিষেবাতে কল করে নির্দিষ্ট প্যারামিটারগুলি পরিবর্তন করা যেতে পারে, যা DSP-এর সাথে যোগাযোগ করার জন্য কল প্রদান করে। এই সমাধানটি ব্লক করতে, MediaTek AudioManager-এর মাধ্যমে PARAM_FILE কমান্ড ব্যবহার করার ক্ষমতা সরিয়ে দিয়েছে।
পরিশেষে আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন, আপনি বিশদ পরীক্ষা করতে পারেন নীচের লিঙ্কে।