કેટલાક સમય પહેલા દિવસો ચેકપોઇન્ટ સંશોધકો પ્રકાશિત સમાચાર કે તેઓએ ત્રણ નબળાઈઓ ઓળખી છે (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) MediaTek DSP ચિપ્સના ફર્મવેરમાં, તેમજ MediaTek Audio HAL (CVE-2021-0673) ના ઓડિયો પ્રોસેસિંગ લેયરમાં નબળાઈ. નબળાઈઓના સફળ શોષણના કિસ્સામાં, હુમલાખોર એન્ડ્રોઇડ પ્લેટફોર્મ માટે બિન-વિશેષાધિકૃત એપ્લિકેશનમાંથી વપરાશકર્તાની છળકપટનું આયોજન કરી શકે છે.
2021 માં, મીડિયાટેકનો હિસ્સો લગભગ 37% છે માટે વિશિષ્ટ ચિપ્સના શિપમેન્ટની સ્માર્ટફોન અને SoCs (અન્ય ડેટા અનુસાર, 2021 ના બીજા ક્વાર્ટરમાં, સ્માર્ટફોન માટે DSP ચિપ્સના ઉત્પાદકોમાં મીડિયાટેકનો હિસ્સો 43% હતો).
અન્ય વસ્તુઓમાં, મીડિયાટેક ડીએસપી ચિપ્સ તેનો ઉપયોગ Xiaomi, Oppo, Realme અને Vivoના ફ્લેગશિપ સ્માર્ટફોનમાં થાય છે. ટેન્સિલિકા એક્સટેન્સા માઇક્રોપ્રોસેસર પર આધારિત મીડિયાટેક ચિપ્સનો ઉપયોગ સ્માર્ટફોનમાં સાઉન્ડ, ઇમેજ અને વિડિયો પ્રોસેસિંગ, ઓગમેન્ટેડ રિયાલિટી સિસ્ટમ્સ, કોમ્પ્યુટર વિઝન અને મશીન લર્નિંગ માટે કમ્પ્યુટિંગમાં તેમજ ચાર્જિંગને ઝડપી અમલ કરવા માટે થાય છે.
ડીએસપી ચિપ્સ માટે રિવર્સ એન્જિનિયરિંગ ફર્મવેર FreeRTOS પ્લેટફોર્મ પર આધારિત MediaTek તરફથી ફર્મવેર બાજુ પર કોડ ચલાવવા અને DSP કામગીરી પર નિયંત્રણ મેળવવાની વિવિધ રીતો જાહેર કરી એન્ડ્રોઇડ પ્લેટફોર્મ માટે બિન-વિશેષાધિકૃત એપ્લિકેશનો તરફથી ખાસ રચિત વિનંતીઓ મોકલીને.
મીડિયાટેક MT9 SoC (Dimensity 5U) થી સજ્જ Xiaomi Redmi Note 6853 800G પર હુમલાના વ્યવહારુ ઉદાહરણો દર્શાવવામાં આવ્યા હતા. તે નોંધ્યું છે કે MediaTek ના ઓક્ટોબર ફર્મવેર અપડેટમાં OEM ને પહેલેથી જ નબળાઈ ફિક્સેસ પ્રાપ્ત થયા છે.
અમારા સંશોધનનો ધ્યેય Android Audio DSP પર હુમલો કરવાનો માર્ગ શોધવાનો છે. સૌપ્રથમ, આપણે એ સમજવાની જરૂર છે કે એપ્લીકેશન પ્રોસેસર (AP) પર ચાલતું એન્ડ્રોઇડ ઓડિયો પ્રોસેસર સાથે કેવી રીતે વાતચીત કરે છે. દેખીતી રીતે, ત્યાં એક નિયંત્રક હોવો જોઈએ જે એન્ડ્રોઇડ યુઝર સ્પેસની વિનંતીઓની રાહ જુએ છે અને પછી અમુક પ્રકારના ઇન્ટરપ્રોસેસર કમ્યુનિકેશન (IPC) નો ઉપયોગ કરીને આ વિનંતીઓને DSPને પ્રોસેસિંગ માટે ફોરવર્ડ કરે છે.
અમે પરીક્ષણ ઉપકરણ તરીકે MT9 (ડાયમેન્સિટી 5U) ચિપસેટ પર આધારિત રૂટેડ Xiaomi Redmi Note 6853 800G સ્માર્ટફોનનો ઉપયોગ કર્યો છે. ઓપરેટિંગ સિસ્ટમ MIUI ગ્લોબલ 12.5.2.0 (Android 11 RP1A.200720.011) છે.
ઉપકરણ પર માત્ર થોડા મીડિયા સંબંધિત ડ્રાઇવરો દર્શાવવામાં આવ્યા હોવાથી, AP અને DSP વચ્ચેના સંચાર માટે જવાબદાર ડ્રાઇવરને શોધવાનું મુશ્કેલ નહોતું.
DSP ચિપના ફર્મવેર સ્તર પર તેના કોડને એક્ઝિક્યુટ કરીને કરવામાં આવતા હુમલાઓમાં:
- એક્સેસ કંટ્રોલ સિસ્ટમ બાયપાસ અને પ્રિવિલેજ એસ્કેલેશન: ફોટા, વિડિયો, કૉલ રેકોર્ડિંગ, માઇક્રોફોન, જીપીએસ, વગેરે જેવા ડેટાનું અદ્રશ્ય કેપ્ચર.
- સેવાનો ઇનકાર અને દૂષિત ક્રિયાઓ: માહિતીની ઍક્સેસને અવરોધિત કરો, ઝડપી ચાર્જિંગ દરમિયાન ઓવરહિટીંગ સંરક્ષણને અક્ષમ કરો.
- દૂષિત પ્રવૃત્તિ છુપાવો - સંપૂર્ણપણે અદૃશ્ય અને અવિશ્વસનીય દૂષિત ઘટકો બનાવો જે ફર્મવેર સ્તરે ચાલે છે.
- વપરાશકર્તાની જાસૂસી કરવા માટે ટૅગ્સ જોડો, જેમ કે છબી અથવા વિડિયોમાં સૂક્ષ્મ ટૅગ્સ ઉમેરવા અને પછી પોસ્ટ કરેલા ડેટાને વપરાશકર્તા સાથે લિંક કરવા.
MediaTek Audio HAL માં નબળાઈની વિગતો હજુ જાહેર કરવાની બાકી છે, પરંતુ એલઅન્ય ત્રણ નબળાઈઓ તરીકે ડીએસપી ફર્મવેરમાં IPI સંદેશાઓ પર પ્રક્રિયા કરતી વખતે ખોટા એજ ચેકને કારણે થાય છે (Inter-Processor Interrupt) audio_ipi ઓડિયો ડ્રાઈવર દ્વારા DSP ને મોકલવામાં આવે છે.
આ સમસ્યાઓ ફર્મવેર દ્વારા પૂરા પાડવામાં આવેલ હેન્ડલર્સમાં નિયંત્રિત બફર ઓવરફ્લોનું કારણ બને છે, જેમાં વહેંચાયેલ મેમરીમાં ફાળવેલ વાસ્તવિક કદની ચકાસણી કર્યા વિના, IPI પેકેટની અંદરના ફીલ્ડમાંથી ટ્રાન્સમિટેડ ડેટાના કદ વિશેની માહિતી લેવામાં આવી હતી. .
પ્રયોગો દરમિયાન નિયંત્રકને ઍક્સેસ કરવા માટે, અમે ડાયરેક્ટ ioctls કૉલ્સ અથવા /vendor/lib/hw/audio.primary.mt6853.so લાઇબ્રેરીનો ઉપયોગ કરીએ છીએ, જે નિયમિત Android એપ્લિકેશનો માટે અગમ્ય છે. જો કે, સંશોધકોએ તૃતીય-પક્ષ એપ્લિકેશનો માટે ઉપલબ્ધ ડીબગીંગ વિકલ્પોના ઉપયોગના આધારે આદેશો મોકલવાનો ઉકેલ શોધી કાઢ્યો.
MediaTek Aurisys HAL લાઇબ્રેરીઓ (libfvaudio.so) પર હુમલો કરવા માટે Android AudioManager સેવાને કૉલ કરીને ઉલ્લેખિત પરિમાણો બદલી શકાય છે, જે DSP સાથે સંપર્ક કરવા માટે કૉલ્સ પ્રદાન કરે છે. આ ઉકેલને અવરોધિત કરવા માટે, MediaTek એ AudioManager દ્વારા PARAM_FILE આદેશનો ઉપયોગ કરવાની ક્ષમતા દૂર કરી છે.
છેલ્લે જો તમને તેના વિશે વધુ જાણવામાં રસ છે, તમે વિગતો ચકાસી શકો છો નીચેની કડીમાં