Prije nekih dana pušteni istraživači Checkpointa vijest da su identifikovali tri ranjivosti (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) u firmveru MediaTek DSP čipova, kao i ranjivost u sloju za obradu zvuka MediaTek Audio HAL (CVE-2021-0673). U slučaju uspješnog iskorištavanja ranjivosti, napadač može organizirati prisluškivanje korisnika iz neprivilegirane aplikacije za Android platformu.
U 2021, MediaTek čini oko 37% pošiljki specijalizovanog čipsa za pametnih telefona i SoC-a (Prema drugim podacima, u drugom kvartalu 2021. udio MediaTeka među proizvođačima DSP čipova za pametne telefone iznosio je 43%).
Između ostalog, MediaTek DSP čipovi Koriste se u vodećim pametnim telefonima Xiaomi, Oppo, Realme i Vivo. MediaTek čipovi, bazirani na mikroprocesoru Tensilica Xtensa, koriste se u pametnim telefonima za obavljanje operacija kao što su obrada zvuka, slike i videa, u računarstvu za sisteme proširene stvarnosti, kompjuterski vid i mašinsko učenje, kao i za implementaciju brzog punjenja.
Firmware za obrnuto inženjerstvo za DSP čipove od MediaTek-a zasnovanog na FreeRTOS platformi otkrili su različite načine za pokretanje koda na strani firmvera i sticanje kontrole nad DSP operacijama slanjem posebno kreiranih zahtjeva iz neprivilegiranih aplikacija za Android platformu.
Praktični primjeri napada demonstrirani su na Xiaomi Redmi Note 9 5G opremljenom MediaTek MT6853 SoC-om (Dimensity 800U). Napominje se da su OEM-ovi već primili ispravke ranjivosti u MediaTek-ovom oktobarskom ažuriranju firmvera.
Cilj našeg istraživanja je pronaći način za napad na Android Audio DSP. Prvo, moramo razumjeti kako Android koji radi na procesoru aplikacija (AP) komunicira sa audio procesorom. Očigledno, mora postojati kontroler koji čeka zahtjeve iz Android korisničkog prostora, a zatim pomoću neke vrste međuprocesorske komunikacije (IPC) prosljeđuje ove zahtjeve DSP-u na obradu.
Kao testni uređaj koristili smo ukorijenjeni Xiaomi Redmi Note 9 5G pametni telefon baziran na MT6853 (Dimensity 800U) čipsetu. Operativni sistem je MIUI Global 12.5.2.0 (Android 11 RP1A.200720.011).
Kako postoji samo nekoliko drajvera vezanih za medije koji se nalaze na uređaju, nije bilo teško pronaći drajver koji je odgovoran za komunikaciju između AP-a i DSP-a.
Među napadima koji se mogu izvesti izvršavanjem njegovog koda na nivou firmvera DSP čipa:
- Zaobilaženje sistema kontrole pristupa i eskalacija privilegija: nevidljivo hvatanje podataka kao što su fotografije, video zapisi, snimci poziva, podaci iz mikrofona, GPS-a itd.
- Uskraćivanje usluge i zlonamjerne radnje: blokirajte pristup informacijama, onemogućite zaštitu od pregrijavanja tokom brzog punjenja.
- Sakrij zlonamjernu aktivnost - Kreirajte potpuno nevidljive i neizbrisive zlonamjerne komponente koje se pokreću na nivou firmvera.
- Priložite oznake da biste špijunirali korisnika, kao što je dodavanje suptilnih oznaka na sliku ili video, a zatim povezivanje objavljenih podataka s korisnikom.
Detalji ranjivosti u MediaTek Audio HAL tek treba da budu otkriveni, ali lkao tri druge ranjivosti u DSP firmveru su uzrokovane neispravnom provjerom ruba prilikom obrade IPI poruka (Inter-Processor Interrupt) koji audio_ipi audio drajver šalje DSP-u.
Ovi problemi omogućavaju da se izazove kontrolisano prelivanje bafera u rukovaocima koje obezbeđuje firmver, u kojima su informacije o veličini prenetih podataka preuzete iz polja unutar IPI paketa, bez provjere stvarne veličine dodijeljene u zajedničkoj memoriji. .
Za pristup kontroleru tokom eksperimenata koristimo direktne ioctls pozive ili /vendor/lib/hw/audio.primary.mt6853.so biblioteku, koji su nedostupni redovnim Android aplikacijama. Međutim, istraživači su pronašli rješenje za slanje naredbi na temelju korištenja opcija za otklanjanje grešaka koje su dostupne aplikacijama trećih strana.
Navedeni parametri se mogu promijeniti pozivanjem usluge Android AudioManager za napad na MediaTek Aurisys HAL biblioteke (libfvaudio.so), koje pružaju pozive za interakciju sa DSP-om. Kako bi blokirao ovo rješenje, MediaTek je uklonio mogućnost korištenja naredbe PARAM_FILE preko AudioManagera.
Konačno ako ste zainteresirani da saznate više o tome, možete provjeriti detalje Na sledećem linku.