Beberapa lalu hari peneliti Checkpoint dirilis berita bahwa mereka telah mengidentifikasi tiga kerentanan (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) dalam firmware chip MediaTek DSP, serta kerentanan pada lapisan pemrosesan audio MediaTek Audio HAL (CVE-2021-0673). Dalam kasus eksploitasi kerentanan yang berhasil, penyerang dapat mengatur penyadapan pengguna dari aplikasi non-istimewa untuk platform Android.
En 2021, MediaTek menyumbang sekitar 37% pengiriman chip khusus untuk smartphone dan SoC (Menurut data lain, pada kuartal kedua tahun 2021, pangsa MediaTek di antara produsen chip DSP untuk smartphone adalah 43%).
Antara lain, chip MediaTek DSP Mereka digunakan di smartphone andalan Xiaomi, Oppo, Realme dan Vivo. Chip MediaTek, berdasarkan mikroprosesor Tensilica Xtensa, digunakan di ponsel cerdas untuk melakukan operasi seperti pemrosesan suara, gambar, dan video, dalam komputasi untuk sistem augmented reality, visi komputer dan pembelajaran mesin, serta untuk menerapkan pengisian daya dengan cepat.
Firmware Rekayasa Terbalik untuk Chip DSP dari MediaTek berdasarkan platform FreeRTOS mengungkapkan berbagai cara untuk menjalankan kode di sisi firmware dan mendapatkan kendali atas operasi DSP dengan mengirimkan permintaan yang dibuat khusus dari aplikasi non-istimewa untuk platform Android.
Contoh praktis serangan ditunjukkan pada Xiaomi Redmi Note 9 5G yang dilengkapi dengan MediaTek MT6853 SoC (Dimensity 800U). Perlu dicatat bahwa OEM telah menerima perbaikan kerentanan dalam pembaruan firmware MediaTek Oktober.
Tujuan penelitian kami adalah menemukan cara untuk menyerang Android Audio DSP. Pertama, kita perlu memahami bagaimana Android yang berjalan pada prosesor aplikasi (AP) berkomunikasi dengan prosesor audio. Jelas, harus ada pengontrol yang menunggu permintaan dari ruang pengguna Android dan kemudian menggunakan semacam komunikasi antarprosesor (IPC) meneruskan permintaan ini ke DSP untuk diproses.
Kami menggunakan smartphone Xiaomi Redmi Note 9 5G yang di-root berdasarkan chipset MT6853 (Dimensity 800U) sebagai perangkat uji. Sistem operasinya adalah MIUI Global 12.5.2.0 (Android 11 RP1A.200720.011).
Karena hanya ada beberapa driver terkait media yang ditampilkan pada perangkat, tidaklah sulit untuk menemukan driver yang bertanggung jawab untuk komunikasi antara AP dan DSP.
Di antara serangan yang dapat dilakukan dengan mengeksekusi kodenya di tingkat firmware chip DSP:
- Bypass sistem kontrol akses dan eskalasi hak istimewa: pengambilan data yang tidak terlihat seperti foto, video, rekaman panggilan, data dari mikrofon, GPS, dll.
- Penolakan layanan dan tindakan jahat: blokir akses ke informasi, nonaktifkan perlindungan panas berlebih selama pengisian cepat.
- Sembunyikan Aktivitas Berbahaya - Buat komponen jahat yang benar-benar tidak terlihat dan tak terhapuskan yang berjalan pada tingkat firmware.
- Lampirkan tag untuk memata-matai pengguna, seperti menambahkan tag halus ke gambar atau video dan kemudian menautkan data yang diposting ke pengguna.
Detail kerentanan di MediaTek Audio HAL belum terungkap, tapi akusebagai tiga kerentanan lainnya dalam firmware DSP disebabkan oleh pemeriksaan tepi yang salah saat memproses pesan IPI (Inter-Processor Interrupt) yang dikirim oleh audio_ipi audio driver ke DSP.
Masalah-masalah ini memungkinkan untuk menyebabkan buffer overflow terkontrol di penangan yang disediakan oleh firmware, di mana informasi tentang ukuran data yang ditransmisikan diambil dari bidang dalam paket IPI, tanpa memverifikasi ukuran sebenarnya yang dialokasikan dalam memori bersama. .
Untuk mengakses pengontrol selama percobaan, kami menggunakan panggilan ioctls langsung atau perpustakaan /vendor/lib/hw/audio.primary.mt6853.so, yang tidak dapat diakses oleh aplikasi Android biasa. Namun, para peneliti menemukan solusi untuk mengirim perintah berdasarkan penggunaan opsi debugging yang tersedia untuk aplikasi pihak ketiga.
Parameter yang ditentukan dapat diubah dengan memanggil layanan Android AudioManager untuk menyerang library MediaTek Aurisys HAL (libfvaudio.so), yang menyediakan panggilan untuk berinteraksi dengan DSP. Untuk memblokir solusi ini, MediaTek menghapus kemampuan untuk menggunakan perintah PARAM_FILE melalui AudioManager.
Akhirnya jika Anda tertarik untuk mengetahui lebih banyak tentang itu, Anda dapat memeriksa detailnya Di tautan berikut.