Mõni aeg tagasi päeva Checkpointi teadlased vabastasid uudised, et nad on tuvastanud kolm haavatavust (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) MediaTek DSP kiipide püsivaras, samuti MediaTek Audio HAL (CVE-2021-0673) helitöötluskihi haavatavus. Turvaaukude eduka ärakasutamise korral saab ründaja korraldada kasutaja pealtkuulamise Androidi platvormi privilegeerimata rakendusest.
In 2021, MediaTek moodustab ligikaudu 37% spetsiaalsete kiipide saadetiste kohta nutitelefonid ja SoC-d (Teistel andmetel oli 2021. aasta teises kvartalis MediaTeki osakaal nutitelefonidele mõeldud DSP-kiipide tootjate seas 43%).
Muuhulgas MediaTek DSP kiibid Neid kasutatakse Xiaomi, Oppo, Realme ja Vivo lipulaevades. Tensilica Xtensa mikroprotsessoril põhinevaid MediaTeki kiipe kasutatakse nutitelefonides selliste toimingute tegemiseks nagu heli-, pildi- ja videotöötlus, liitreaalsussüsteemide andmetöötluses, arvutinägemises ja masinõppes, aga ka laadimise rakendamiseks.kiire.
DSP kiipide pöördprojekteerimise püsivara FreeRTOS platvormil põhinevast MediaTekist paljastas erinevaid viise koodi käivitamiseks püsivara poolel ja DSP toimingute üle kontrolli saamiseks saates Androidi platvormi jaoks mitteprivilegeeritud rakenduste spetsiaalselt koostatud päringuid.
Praktilisi näiteid rünnakutest demonstreeriti Xiaomi Redmi Note 9 5G-l, mis oli varustatud MediaTek MT6853 SoC-ga (Dimensity 800U). Märgitakse, et originaalseadmete tootjad on MediaTeki oktoobri püsivara värskenduses juba haavatavuse parandusi saanud.
Meie uurimistöö eesmärk on leida viis Android Audio DSP ründamiseks. Esiteks peame mõistma, kuidas rakendusprotsessoris (AP) töötav Android suhtleb heliprotsessoriga. Ilmselgelt peab olema kontroller, mis ootab Androidi kasutajaruumist päringuid ja siis mingit protsessoritevahelist sidet (IPC) kasutades edastab need päringud DSP-le töötlemiseks.
Testseadmena kasutasime MT9 (Dimensity 5U) kiibistikul põhinevat juurtega Xiaomi Redmi Note 6853 800G nutitelefoni. Operatsioonisüsteemiks on MIUI Global 12.5.2.0 (Android 11 RP1A.200720.011).
Kuna seadmel on vaid mõned meediaga seotud draiverid, polnud AP ja DSP vahelise suhtluse eest vastutava draiveri leidmine keeruline.
Rünnakute hulgas, mida saab läbi viia, käivitades selle koodi DSP-kiibi püsivara tasemel:
- Juurdepääsusüsteemi ümbersõit ja privileegide eskalatsioon: nähtamatu andmete jäädvustamine, nagu fotod, videod, kõnesalvestised, andmed mikrofonist, GPS-ist jne.
- Teenuse keelamine ja pahatahtlikud toimingud: blokeerige juurdepääs teabele, keelake kiirlaadimise ajal ülekuumenemiskaitse.
- Peida pahatahtlik tegevus – looge täiesti nähtamatud ja kustutamatud pahatahtlikud komponendid, mis töötavad püsivara tasemel.
- Kinnitage silte kasutaja järele luuramiseks, näiteks lisage pildile või videole peened sildid ja seejärel linkige postitatud andmed kasutajaga.
MediaTek Audio HAL-i haavatavuse üksikasju ei ole veel avaldatud, aga lnagu kolm muud haavatavust DSP püsivaras on põhjustatud valest servakontrollist IPI-sõnumite töötlemisel (Protsessoritevaheline katkestus), mille audio_ipi helidraiver saadab DSP-le.
Need probleemid võimaldavad tekitada püsivara pakutavates töötlejates kontrollitud puhvri ületäitumise, mille puhul info edastatavate andmete suuruse kohta võeti IPI paketi väljalt, ilma et oleks kontrollitud ühismälus eraldatud tegelikku suurust. .
Kontrollerile katsete ajal juurde pääsemiseks kasutame otseseid ioctls-i kõnesid või teeki /vendor/lib/hw/audio.primary.mt6853.so, mis on tavalistele Androidi rakendustele ligipääsmatud. Teadlased leidsid aga lahenduse käskude saatmiseks, mis põhinevad kolmandate osapoolte rakendustele saadaolevate silumisvalikute kasutamisel.
Määratud parameetreid saab muuta, helistades teenusele Android AudioManager, et rünnata MediaTek Aurisys HAL-i teeke (libfvaudio.so), mis pakuvad kõnesid DSP-ga suhtlemiseks. Selle lahenduse blokeerimiseks eemaldas MediaTek võimaluse kasutada AudioManageri kaudu käsku PARAM_FILE.
Lõpuks kui olete huvitatud sellest rohkem teada saama, saate üksikasju kontrollida Järgmisel lingil.