For nogle siden dage Checkpoint-forskere frigivet nyheden om, at de har identificeret tre sårbarheder (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) i firmwaren til MediaTek DSP-chips, samt en sårbarhed i lydbehandlingslaget i MediaTek Audio HAL (CVE-2021-0673). I tilfælde af en vellykket udnyttelse af sårbarhederne kan en angriber organisere aflytning af brugeren fra en ikke-privilegeret applikation til Android-platformen.
En 2021, MediaTek står for cirka 37 % af forsendelser af specialiserede chips til smartphones og SoC'er (Ifølge andre data var MediaTeks andel blandt producenter af DSP-chips til smartphones i andet kvartal 2021 43%).
Blandt andet MediaTek DSP-chips De bruges i flagskibssmartphones fra Xiaomi, Oppo, Realme og Vivo. MediaTek-chips, der er baseret på Tensilica Xtensa-mikroprocessoren, bruges i smartphones til at udføre operationer såsom lyd-, billed- og videobehandling, i computing til augmented reality-systemer, computervision og maskinlæring, samt til at implementere opladning.
Reverse Engineering Firmware til DSP Chips fra MediaTek baseret på FreeRTOS-platformen afslørede forskellige måder at køre kode på firmwaresiden og få kontrol over DSP-operationer ved at sende specielt udformede anmodninger fra ikke-privilegerede applikationer til Android-platformen.
Praktiske eksempler på angreb blev demonstreret på en Xiaomi Redmi Note 9 5G udstyret med MediaTek MT6853 SoC (Dimensity 800U). Det bemærkes, at OEM'er allerede har modtaget sårbarhedsrettelser i MediaTeks firmwareopdatering fra oktober.
Målet med vores forskning er at finde en måde at angribe Android Audio DSP på. Først skal vi forstå, hvordan Android, der kører på applikationsprocessoren (AP), kommunikerer med lydprocessoren. Det er klart, at der skal være en controller, der venter på anmodninger fra Android-brugerpladsen og derefter ved hjælp af en form for interprocessorkommunikation (IPC) videresender disse anmodninger til DSP'en til behandling.
Vi brugte en rodfæstet Xiaomi Redmi Note 9 5G-smartphone baseret på MT6853 (Dimensity 800U)-chipsættet som en testenhed. Operativsystemet er MIUI Global 12.5.2.0 (Android 11 RP1A.200720.011).
Da der kun er nogle få medierelaterede drivere på enheden, var det ikke svært at finde den driver, der er ansvarlig for kommunikationen mellem AP og DSP.
Blandt de angreb, der kan udføres ved at udføre dens kode på DSP-chippens firmwareniveau:
- Omgåelse af adgangskontrolsystem og privilegieeskalering: usynlig opsamling af data såsom fotos, videoer, opkaldsoptagelser, data fra en mikrofon, GPS osv.
- Denial of service og ondsindede handlinger: bloker adgang til information, deaktiver overophedningsbeskyttelse under hurtig opladning.
- Skjul ondsindet aktivitet - Opret fuldstændig usynlige og uudslettelige ondsindede komponenter, der kører på firmwareniveau.
- Vedhæft tags for at spionere på en bruger, såsom at tilføje subtile tags til et billede eller en video og derefter linke de udsendte data til brugeren.
Detaljer om sårbarheden i MediaTek Audio HAL er endnu ikke afsløret, men lsom tre andre sårbarheder i DSP firmware er forårsaget af en forkert kantkontrol ved behandling af IPI-meddelelser (Inter-Processor Interrupt) sendt af audio_ipi lyddriveren til DSP'en.
Disse problemer gør det muligt at forårsage et kontrolleret bufferoverløb i de behandlere, der leveres af firmwaren, hvor informationen om størrelsen af de transmitterede data blev taget fra et felt i IPI-pakken, uden at verificere den faktiske størrelse, der er allokeret i den delte hukommelse .
For at få adgang til controlleren under eksperimenter bruger vi direkte ioctls-kald eller /vendor/lib/hw/audio.primary.mt6853.so-biblioteket, som er utilgængelige for almindelige Android-apps. Forskerne fandt dog en løsning til at sende kommandoer baseret på brugen af debugging-muligheder, der er tilgængelige for tredjepartsapplikationer.
De angivne parametre kan ændres ved at ringe til Android AudioManager-tjenesten for at angribe MediaTek Aurisys HAL-bibliotekerne (libfvaudio.so), som giver opkald til at interagere med DSP'en. For at blokere denne løsning fjernede MediaTek muligheden for at bruge PARAM_FILE-kommandoen gennem AudioManager.
Endelig hvis du er interesseret i at vide mere om det, du kan kontrollere detaljerne I det følgende link.