Prije nekih dana pušteni istraživači Checkpointa vijest da su identificirali tri ranjivosti (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) u firmware-u MediaTek DSP čipova, kao i ranjivost u sloju za obradu zvuka MediaTek Audio HAL (CVE-2021-0673). U slučaju uspješnog iskorištavanja ranjivosti, napadač može organizirati prisluškivanje korisnika iz neprivilegirane aplikacije za Android platformu.
U 2021 MediaTek čini oko 37% pošiljki specijaliziranog čipsa za pametnih telefona i SoC-a (Prema drugim podacima, u drugom tromjesečju 2021. udio MediaTeka među proizvođačima DSP čipova za pametne telefone iznosio je 43%).
Između ostalog, MediaTek DSP čipovi Koriste se u vodećim pametnim telefonima Xiaomi, Oppo, Realme i Vivo. MediaTek čipovi, bazirani na mikroprocesoru Tensilica Xtensa, koriste se u pametnim telefonima za obavljanje operacija kao što su obrada zvuka, slike i videa, u računalstvu za sustave proširene stvarnosti, računalni vid i strojno učenje, kao i za brzo punjenje.
Firmware za obrnuti inženjering za DSP čipove od MediaTeka na temelju FreeRTOS platforme otkrio je različite načine za pokretanje koda na strani firmvera i stjecanje kontrole nad DSP operacijama slanjem posebno izrađenih zahtjeva iz neprivilegiranih aplikacija za Android platformu.
Praktični primjeri napada demonstrirani su na Xiaomi Redmi Note 9 5G opremljenom MediaTek MT6853 SoC (Dimensity 800U). Napominje se da su proizvođači originalne opreme već primili popravke ranjivosti u MediaTek-ovom listopadskom ažuriranju firmvera.
Cilj našeg istraživanja je pronaći način za napad na Android Audio DSP. Prvo, moramo razumjeti kako Android koji radi na aplikacijskom procesoru (AP) komunicira s audio procesorom. Očito, mora postojati kontroler koji čeka zahtjeve iz Android korisničkog prostora, a zatim pomoću neke vrste međuprocesorske komunikacije (IPC) prosljeđuje te zahtjeve DSP-u na obradu.
Kao testni uređaj koristili smo rootani Xiaomi Redmi Note 9 5G pametni telefon baziran na MT6853 (Dimensity 800U) čipsetu. Operativni sustav je MIUI Global 12.5.2.0 (Android 11 RP1A.200720.011).
Budući da je na uređaju samo nekoliko drajvera povezanih s medijima, nije bilo teško pronaći upravljački program odgovoran za komunikaciju između AP-a i DSP-a.
Među napadima koji se mogu izvesti izvršavanjem njegovog koda na razini firmware-a DSP čipa:
- Zaobilaženje sustava kontrole pristupa i eskalacija privilegija: nevidljivo hvatanje podataka kao što su fotografije, videozapisi, snimke poziva, podaci s mikrofona, GPS-a itd.
- Uskraćivanje usluge i zlonamjerne radnje: blokirajte pristup informacijama, onemogućite zaštitu od pregrijavanja tijekom brzog punjenja.
- Sakrij zlonamjernu aktivnost - Stvorite potpuno nevidljive i neizbrisive zlonamjerne komponente koje se pokreću na razini firmvera.
- Priložite oznake da biste špijunirali korisnika, kao što je dodavanje suptilnih oznaka slici ili videozapisu, a zatim povezivanje objavljenih podataka s korisnikom.
Pojedinosti o ranjivosti u MediaTek Audio HAL tek treba otkriti, ali lkao tri druge ranjivosti u DSP firmveru uzrokovane neispravnom provjerom ruba prilikom obrade IPI poruka (Inter-Processor Interrupt) koji audio_ipi audio driver šalje DSP-u.
Ovi problemi omogućuju izazivanje kontroliranog prelijevanja međuspremnika u rukovaocima koje pruža firmware, u kojima su informacije o veličini prenesenih podataka preuzete iz polja unutar IPI paketa, bez provjere stvarne veličine dodijeljene u zajedničkoj memoriji. .
Za pristup kontroleru tijekom eksperimenata koristimo izravne ioctls pozive ili biblioteku /vendor/lib/hw/audio.primary.mt6853.so, koji su nedostupni običnim Android aplikacijama. Međutim, istraživači su pronašli rješenje za slanje naredbi na temelju korištenja opcija za otklanjanje pogrešaka dostupnih aplikacijama trećih strana.
Navedeni parametri mogu se promijeniti pozivanjem usluge Android AudioManager za napad na MediaTek Aurisys HAL biblioteke (libfvaudio.so), koje pružaju pozive za interakciju s DSP-om. Kako bi blokirao ovo rješenje, MediaTek je uklonio mogućnost korištenja naredbe PARAM_FILE putem AudioManagera.
Konačno ako vas zanima više o tome, možete provjeriti detalje U sljedećem linku.