Vor einiger Zeit Tage Checkpoint-Forscher veröffentlicht die Nachricht, dass sie drei Schwachstellen identifiziert haben (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) in der Firmware von MediaTek DSP-Chips, sowie eine Schwachstelle in der Audioverarbeitungsschicht von MediaTek Audio HAL (CVE-2021-0673). Im Falle einer erfolgreichen Ausnutzung der Schwachstellen kann ein Angreifer das Abhören des Benutzers aus einer nicht privilegierten Anwendung für die Android-Plattform organisieren.
In 2021, MediaTek macht etwa 37 % aus der Sendungen von Spezialchips für Smartphones und SoCs (Anderen Angaben zufolge lag der Anteil von MediaTek unter den Herstellern von DSP-Chips für Smartphones im zweiten Quartal 2021 bei 43%).
Unter anderem MediaTek DSP-Chips Sie kommen in den Flaggschiff-Smartphones von Xiaomi, Oppo, Realme und Vivo zum Einsatz. MediaTek-Chips, die auf dem Mikroprozessor Tensilica Xtensa basieren, werden in Smartphones verwendet, um Operationen wie Ton-, Bild- und Videoverarbeitung durchzuführen, im Computing für Augmented-Reality-Systeme, Computer Vision und maschinelles Lernen sowie um das Laden zu implementieren.
Reverse-Engineering-Firmware für DSP-Chips von MediaTek basierend auf der FreeRTOS-Plattform enthüllte verschiedene Möglichkeiten, Code auf der Firmware-Seite auszuführen und die Kontrolle über DSP-Operationen zu erlangen durch Senden speziell gestalteter Anfragen von nicht privilegierten Anwendungen für die Android-Plattform.
Praktische Beispiele für Angriffe wurden auf einem Xiaomi Redmi Note 9 5G mit MediaTek MT6853 SoC (Dimensity 800U) demonstriert. Es wird darauf hingewiesen, dass OEMs bereits Schwachstellenfixes in MediaTeks Firmware-Update vom Oktober erhalten haben.
Das Ziel unserer Forschung ist es, einen Weg zu finden, den Android Audio DSP anzugreifen. Zuerst müssen wir verstehen, wie Android, das auf dem Anwendungsprozessor (AP) läuft, mit dem Audioprozessor kommuniziert. Offensichtlich muss es einen Controller geben, der auf Anfragen aus dem Android-Benutzerbereich wartet und diese Anfragen dann über eine Art Interprozessorkommunikation (IPC) an den DSP zur Verarbeitung weiterleitet.
Als Testgerät haben wir ein gerootetes Xiaomi Redmi Note 9 5G Smartphone auf Basis des MT6853 (Dimensity 800U) Chipsatzes verwendet. Das Betriebssystem ist MIUI Global 12.5.2.0 (Android 11 RP1A.200720.011).
Da das Gerät nur wenige medienbezogene Treiber enthält, war es nicht schwierig, den für die Kommunikation zwischen AP und DSP zuständigen Treiber zu finden.
Zu den Angriffen, die durch Ausführen seines Codes auf der Firmware-Ebene des DSP-Chips ausgeführt werden können:
- Umgehung des Zugangskontrollsystems und Eskalation von Berechtigungen: unsichtbare Erfassung von Daten wie Fotos, Videos, Anrufaufzeichnungen, Daten von einem Mikrofon, GPS usw.
- Denial-of-Service und böswillige Aktionen: Blockieren Sie den Zugriff auf Informationen, deaktivieren Sie den Überhitzungsschutz während des Schnellladens.
- Bösartige Aktivitäten ausblenden – Erstellen Sie vollständig unsichtbare und unauslöschliche bösartige Komponenten, die auf Firmware-Ebene ausgeführt werden.
- Fügen Sie Tags hinzu, um einen Benutzer auszuspionieren, z. B. Hinzufügen von subtilen Tags zu einem Bild oder Video und anschließendes Verknüpfen der geposteten Daten mit dem Benutzer.
Details zur Schwachstelle in MediaTek Audio HAL müssen noch bekannt gegeben werden. aber ichwie drei weitere Schwachstellen in der DSP-Firmware werden durch eine falsche Kantenprüfung bei der Verarbeitung von IPI-Nachrichten verursacht (Inter-Processor Interrupt) vom audio_ipi-Audiotreiber an den DSP gesendet.
Diese Probleme machen es möglich, in den von der Firmware bereitgestellten Handlern einen kontrollierten Pufferüberlauf zu verursachen, bei dem die Information über die Größe der übertragenen Daten aus einem Feld innerhalb des IPI-Pakets entnommen wurde, ohne die tatsächlich im Shared Memory zugewiesene Größe zu überprüfen .
Um während der Experimente auf den Controller zuzugreifen, verwenden wir direkte ioctls-Aufrufe oder die Bibliothek /vendor/lib/hw/audio.primary.mt6853.so, auf die normale Android-Apps nicht zugreifen können. Die Forscher fanden jedoch eine Lösung zum Senden von Befehlen basierend auf der Verwendung von Debugging-Optionen, die für Anwendungen von Drittanbietern verfügbar sind.
Die angegebenen Parameter können durch Aufrufen des Android AudioManager-Dienstes geändert werden, um die MediaTek Aurisys HAL-Bibliotheken (libfvaudio.so) anzugreifen, die Aufrufe zur Interaktion mit dem DSP bereitstellen. Um diese Lösung zu blockieren, hat MediaTek die Möglichkeit entfernt, den Befehl PARAM_FILE über AudioManager zu verwenden.
Schließlich Wenn Sie mehr darüber wissen möchten, Sie können die Details überprüfen im folgenden Link.