Néhány évvel ezelőtt nap A Checkpoint kutatói kiadták a hír, hogy három sebezhetőséget azonosítottak (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) a MediaTek DSP chipek firmware-jében, valamint a MediaTek Audio HAL (CVE-2021-0673) hangfeldolgozó rétegének sebezhetősége. A sérülékenységek sikeres kihasználása esetén a támadó megszervezheti a felhasználó lehallgatását egy nem privilegizált alkalmazásból Android platformra.
En 2021, A MediaTek körülbelül 37%-át teszi ki a speciális chipek szállítmányaiból okostelefonok és SoC-ok (Más adatok szerint 2021 második negyedévében a MediaTek részesedése az okostelefonokhoz készült DSP chipek gyártói között 43% volt.
Többek között MediaTek DSP chipek A Xiaomi, az Oppo, a Realme és a Vivo zászlóshajó okostelefonjaiban használatosak. A Tensilica Xtensa mikroprocesszorra épülő MediaTek chipeket okostelefonokban olyan műveletek elvégzésére használják, mint a hang-, kép- és videófeldolgozás, a kiterjesztett valóság rendszerek számítástechnikája, a számítógépes látás és a gépi tanulás, valamint a töltés megvalósítása.
Reverse Engineering firmware DSP chipekhez a FreeRTOS platformon alapuló MediaTek-től feltárt különféle módokat a firmware-oldali kód futtatására és a DSP-műveletek irányításának átvételére speciálisan kialakított kérések küldésével a nem privilegizált alkalmazásokból az Android platformra.
A támadások gyakorlati példáit egy MediaTek MT9 SoC-vel (5U dimenzió) felszerelt Xiaomi Redmi Note 6853 800G készüléken mutatták be. Megjegyzendő, hogy az OEM-ek már kaptak sebezhetőségi javításokat a MediaTek októberi firmware-frissítésében.
Kutatásunk célja, hogy megtaláljuk az Android Audio DSP megtámadásának módját. Először is meg kell értenünk, hogy az alkalmazásprocesszoron (AP) futó Android hogyan kommunikál az audioprocesszorral. Nyilvánvalóan kell lennie egy vezérlőnek, amely megvárja az Android felhasználói területéről érkező kéréseket, majd valamilyen processzorközi kommunikáció (IPC) segítségével továbbítja ezeket a kéréseket a DSP-nek feldolgozásra.
Teszteszközként egy MT9 (Dimensity 5U) lapkakészletre épülő, rootolt Xiaomi Redmi Note 6853 800G okostelefont használtunk. Az operációs rendszer a MIUI Global 12.5.2.0 (Android 11 RP1A.200720.011).
Mivel csak néhány médiához kapcsolódó illesztőprogram található az eszközön, nem volt nehéz megtalálni az AP és a DSP közötti kommunikációért felelős illesztőprogramot.
A kódjának a DSP chip firmware szintjén történő végrehajtásával végrehajtható támadások közül:
- Beléptetőrendszer kiiktatása és jogosultság-kiterjesztés: olyan adatok láthatatlan rögzítése, mint fotók, videók, hívásfelvételek, adatok mikrofonról, GPS-ről stb.
- Szolgáltatásmegtagadás és rosszindulatú műveletek: blokkolja az információkhoz való hozzáférést, tiltsa le a túlmelegedés elleni védelmet a gyorstöltés során.
- Rosszindulatú tevékenység elrejtése – Hozzon létre teljesen láthatatlan és kitörölhetetlen rosszindulatú összetevőket, amelyek firmware szinten futnak.
- Címkék csatolásával kémkedhet egy felhasználó után, például finom címkéket ad hozzá egy képhez vagy videóhoz, majd összekapcsolja a közzétett adatokat a felhasználóval.
A MediaTek Audio HAL sebezhetőségének részleteit még nem hozták nyilvánosságra, de lmint három másik sebezhetőség a DSP firmware-ben az IPI üzenetek feldolgozása során végzett helytelen élellenőrzés okozza (Inter-Processor Interrupt) az audio_ipi audio-illesztőprogram által a DSP-nek küldött.
Ezek a problémák lehetővé teszik, hogy a firmware által biztosított kezelőkben ellenőrzött puffertúlcsordulás keletkezzen, amelyben az átvitt adatok méretére vonatkozó információt az IPI csomagon belüli mezőből vették, anélkül, hogy ellenőrizték volna az osztott memóriában lefoglalt tényleges méretet. .
A kísérletek során a vezérlő eléréséhez közvetlen ioctls-hívásokat vagy a /vendor/lib/hw/audio.primary.mt6853.so könyvtárat használjuk, amelyek nem érhetők el a szokásos Android-alkalmazások számára. A kutatók azonban megoldást találtak arra, hogy parancsokat küldjenek a harmadik féltől származó alkalmazások számára elérhető hibakeresési lehetőségek felhasználásán.
A megadott paraméterek megváltoztathatók az Android AudioManager szolgáltatás felhívásával, hogy megtámadják a MediaTek Aurisys HAL-könyvtárakat (libfvaudio.so), amelyek hívásokat biztosítanak a DSP-vel való interakcióhoz. A megoldás letiltásához a MediaTek eltávolította a PARAM_FILE parancs használatának lehetőségét az AudioManageren keresztül.
Végül ha érdekel, hogy többet tudj meg róla, ellenőrizheti a részleteket A következő linken.