Před několika lety dnů Checkpoint výzkumníci propuštěni zprávy, že identifikovali tři zranitelnosti (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) ve firmwaru čipů MediaTek DSP, a také zranitelnost ve vrstvě zpracování zvuku MediaTek Audio HAL (CVE-2021-0673). V případě úspěšného zneužití zranitelnosti může útočník zorganizovat odposlech uživatele z neprivilegované aplikace pro platformu Android.
V 2021, MediaTek představuje přibližně 37 % zásilek specializovaných čipů pro smartphony a SoC (Podle dalších údajů byl ve druhém čtvrtletí roku 2021 podíl MediaTeku mezi výrobci DSP čipů pro chytré telefony 43 %).
Mimo jiné čipy MediaTek DSP Používají se ve vlajkových lodích smartphonů Xiaomi, Oppo, Realme a Vivo. Čipy MediaTek založené na mikroprocesoru Tensilica Xtensa se používají v chytrých telefonech k provádění operací, jako je zpracování zvuku, obrazu a videa, ve výpočetní technice pro systémy rozšířené reality, počítačové vidění a strojové učení, stejně jako k rychlé implementaci nabíjení.
Firmware zpětného inženýrství pro čipy DSP od MediaTek založené na platformě FreeRTOS odhalil různé způsoby, jak spustit kód na straně firmwaru a získat kontrolu nad operacemi DSP odesíláním speciálně vytvořených požadavků z neprivilegovaných aplikací pro platformu Android.
Praktické příklady útoků byly demonstrovány na Xiaomi Redmi Note 9 5G vybaveném MediaTek MT6853 SoC (Dimensity 800U). Je třeba poznamenat, že výrobci OEM již obdrželi opravy zranitelnosti v říjnové aktualizaci firmwaru MediaTek.
Cílem našeho výzkumu je najít způsob, jak zaútočit na Android Audio DSP. Nejprve musíme pochopit, jak Android běžící na aplikačním procesoru (AP) komunikuje se zvukovým procesorem. Je zřejmé, že musí existovat řadič, který čeká na požadavky z uživatelského prostoru Android a poté pomocí nějakého druhu meziprocesorové komunikace (IPC) předá tyto požadavky DSP ke zpracování.
Jako testovací zařízení jsme použili zakořeněný smartphone Xiaomi Redmi Note 9 5G založený na čipové sadě MT6853 (Dimensity 800U). Operačním systémem je MIUI Global 12.5.2.0 (Android 11 RP1A.200720.011).
Vzhledem k tomu, že na zařízení je pouze několik ovladačů souvisejících s médii, nebylo obtížné najít ovladač zodpovědný za komunikaci mezi AP a DSP.
Mezi útoky, které lze provést spuštěním jeho kódu na úrovni firmwaru čipu DSP:
- Obcházení systému řízení přístupu a eskalace oprávnění: neviditelné zachycení dat, jako jsou fotografie, videa, nahrávky hovorů, data z mikrofonu, GPS atd.
- Odepření služby a škodlivé akce: zablokujte přístup k informacím, deaktivujte ochranu proti přehřátí během rychlého nabíjení.
- Hide Malicious Activity – Vytvářejte zcela neviditelné a nesmazatelné škodlivé komponenty, které běží na úrovni firmwaru.
- Připojte štítky ke špehování uživatele, jako je přidání jemných štítků k obrázku nebo videu a následné propojení zveřejněných dat s uživatelem.
Podrobnosti o zranitelnosti v MediaTek Audio HAL ještě nebyly odhaleny, ale jájako tři další zranitelnosti ve firmwaru DSP jsou způsobeny nesprávnou kontrolou hran při zpracování zpráv IPI (Inter-Processor Interrupt) odeslané audio_ipi audio ovladačem do DSP.
Tyto problémy umožňují způsobit řízené přetečení vyrovnávací paměti v obslužných rutinách poskytovaných firmwarem, ve kterých byla informace o velikosti přenášených dat převzata z pole v paketu IPI, aniž by bylo nutné ověřit skutečnou velikost alokovanou ve sdílené paměti. .
Pro přístup k ovladači během experimentů používáme přímá volání ioctls nebo knihovnu /vendor/lib/hw/audio.primary.mt6853.so, které jsou pro běžné aplikace pro Android nepřístupné. Vědci však našli řešení pro odesílání příkazů na základě použití možností ladění dostupných aplikacím třetích stran.
Zadané parametry lze změnit voláním služby Android AudioManager k útoku na knihovny MediaTek Aurisys HAL (libfvaudio.so), které poskytují volání pro interakci s DSP. Aby MediaTek toto řešení zablokoval, odebral možnost používat příkaz PARAM_FILE prostřednictvím AudioManager.
Konečně pokud se o tom chcete dozvědět více, můžete zkontrolovat podrobnosti Na následujícím odkazu.