לפני כמה ימים שוחררו חוקרי המחסום החדשות שהם זיהו שלוש נקודות תורפה (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) בקושחה של שבבי MediaTek DSP, כמו גם פגיעות בשכבת עיבוד האודיו של MediaTek Audio HAL (CVE-2021-0673). במקרה של ניצול מוצלח של הפגיעויות, תוקף יכול לארגן האזנת סתר למשתמש מאפליקציה לא מוסמכת עבור פלטפורמת אנדרואיד.
En 2021, MediaTek אחראית לכ-37% של משלוחים של שבבים מיוחדים עבור סמארטפונים ו-SoCs (לפי נתונים אחרים, ברבעון השני של 2021, חלקה של MediaTek בקרב יצרני שבבי DSP לסמארטפונים היה 43%).
בין היתר, שבבי MediaTek DSP הם משמשים בסמארטפונים הדגלים של Xiaomi, Oppo, Realme ו-Vivo. שבבי MediaTek, המבוססים על המיקרו-מעבד Tensilica Xtensa, משמשים בטלפונים חכמים לביצוע פעולות כגון עיבוד קול, תמונה ווידאו, במחשוב עבור מערכות מציאות רבודה, ראייה ממוחשבת ולמידת מכונה, וכן ליישום טעינה מהירה.
קושחת הנדסה הפוכה עבור שבבי DSP מ-MediaTek המבוססת על פלטפורמת FreeRTOS חשף דרכים שונות להפעיל קוד בצד הקושחה ולהשיג שליטה על פעולות DSP על ידי שליחת בקשות מעוצבות במיוחד מיישומים שאינם מורשים עבור פלטפורמת אנדרואיד.
דוגמאות מעשיות להתקפות הוצגו על Xiaomi Redmi Note 9 5G המצויד ב-MediaTek MT6853 SoC (Dimensity 800U). יצוין כי יצרני OEM כבר קיבלו תיקוני פגיעות בעדכון הקושחה של MediaTek מאוקטובר.
מטרת המחקר שלנו היא למצוא דרך לתקוף את ה-Android Audio DSP. ראשית, עלינו להבין כיצד אנדרואיד הפועלת על מעבד האפליקציות (AP) מתקשרת עם מעבד האודיו. ברור שחייב להיות בקר שמחכה לבקשות ממרחב משתמשי אנדרואיד ולאחר מכן באמצעות סוג של תקשורת בין מעבדים (IPC) מעביר את הבקשות הללו ל-DSP לעיבוד.
השתמשנו בסמארטפון שורשי של Xiaomi Redmi Note 9 5G המבוסס על ערכת השבבים MT6853 (Dimensity 800U) כמכשיר בדיקה. מערכת ההפעלה היא MIUI Global 12.5.2.0 (Android 11 RP1A.200720.011).
מכיוון שיש רק כמה מנהלי התקנים הקשורים למדיה שמופיעים במכשיר, לא היה קשה למצוא את מנהל ההתקן האחראי לתקשורת בין ה-AP ל-DSP.
בין ההתקפות שניתן לבצע על ידי ביצוע הקוד שלו ברמת הקושחה של שבב DSP:
- עקיפת מערכת בקרת גישה והסלמה של הרשאות: לכידה בלתי נראית של נתונים כגון תמונות, סרטונים, הקלטות שיחות, נתונים ממיקרופון, GPS וכו'.
- מניעת שירות ופעולות זדוניות: חסימת גישה למידע, השבתת הגנת התחממות יתר בזמן טעינה מהירה.
- הסתר פעילות זדונית - צור רכיבים זדוניים בלתי נראים לחלוטין ובלתי ניתנים למחיקה הפועלים ברמת הקושחה.
- צרף תגיות כדי לרגל אחר משתמש, כגון הוספת תגים עדינים לתמונה או לסרטון ולאחר מכן קישור הנתונים שפורסמו למשתמש.
פרטים על הפגיעות ב-MediaTek Audio HAL טרם נחשפו, אבל אניכמו שלוש נקודות תורפה אחרות בקושחה DSP נגרמים על ידי בדיקת קצה שגויה בעת עיבוד הודעות IPI (Inter-Processor Interrupt) שנשלח על ידי מנהל התקן השמע audio_ipi ל-DSP.
בעיות אלו מאפשרות לגרום לגלישה מבוקרת של מאגר במטפלים המסופקים על ידי הקושחה, שבה המידע על גודל הנתונים המועברים נלקח משדה בתוך חבילת ה-IPI, מבלי לוודא את הגודל האמיתי שהוקצה בזיכרון המשותף. .
כדי לגשת לבקר במהלך ניסויים, אנו משתמשים בקריאות ישירות של ioctls או בספריית /vendor/lib/hw/audio.primary.mt6853.so, שאינן נגישות לאפליקציות אנדרואיד רגילות. עם זאת, החוקרים מצאו פתרון לשליחת פקודות המבוססות על שימוש באפשרויות ניפוי באגים הזמינות ליישומי צד שלישי.
ניתן לשנות את הפרמטרים שצוינו על ידי קריאה לשירות Android AudioManager כדי לתקוף את ספריות MediaTek Aurisys HAL (libfvaudio.so), המספקות שיחות לאינטראקציה עם ה-DSP. כדי לחסום פתרון זה, MediaTek הסירה את היכולת להשתמש בפקודה PARAM_FILE דרך AudioManager.
בסופו של דבר אם אתה מעוניין לדעת יותר על כך, אתה יכול לבדוק את הפרטים בקישור הבא.