얼마 전 일 검문소 연구원 공개 세 가지 취약점(CVE-2021-0661, CVE-2021-0662, CVE-2021-0663)을 확인했다는 소식 MediaTek DSP 칩의 펌웨어에서, MediaTek Audio HAL(CVE-2021-0673)의 오디오 처리 계층의 취약점도 포함됩니다. 취약점 악용에 성공한 경우 공격자는 권한이 없는 Android 플랫폼용 애플리케이션에서 사용자에 대한 도청을 준비할 수 있습니다.
2021에서, MediaTek은 약 37%를 차지합니다. 특수 칩 출하량 스마트폰과 SoC (다른 자료에 따르면 2021년 43분기 스마트폰 DSP 칩 제조사 중 MediaTek의 점유율은 XNUMX%였습니다.)
무엇보다도 MediaTek DSP 칩 Xiaomi, Oppo, Realme 및 Vivo의 플래그십 스마트폰에 사용됩니다. Tensilica Xtensa 마이크로 프로세서를 기반으로 하는 MediaTek 칩은 증강 현실 시스템, 컴퓨터 비전 및 기계 학습을 위한 컴퓨팅에서 사운드, 이미지 및 비디오 처리와 같은 작업을 수행하고 고속 충전을 구현하기 위해 스마트폰에서 사용됩니다.
DSP 칩용 펌웨어 리버스 엔지니어링 FreeRTOS 플랫폼 기반 MediaTek에서 펌웨어 측에서 코드를 실행하고 DSP 작업을 제어하는 다양한 방법 공개 권한이 없는 Android 플랫폼용 애플리케이션에서 특별히 제작된 요청을 전송합니다.
실제 공격 사례는 MediaTek MT9 SoC(Dimensity 5U)가 장착된 Xiaomi Redmi Note 6853 800G에서 시연되었습니다. OEM은 MediaTek의 XNUMX월 펌웨어 업데이트에서 이미 취약성 수정 사항을 받았다는 점에 유의하십시오.
우리 연구의 목표는 Android Audio DSP를 공격하는 방법을 찾는 것입니다. 먼저 애플리케이션 프로세서(AP)에서 실행되는 Android가 오디오 프로세서와 통신하는 방법을 이해해야 합니다. 당연히 Android 사용자 영역 요청을 기다린 다음 IPC(Inter-Processor Communication) 형식을 사용하여 처리를 위해 이러한 요청을 DSP로 전달하는 컨트롤러가 있어야 합니다.
MT9 칩셋(Dimensity 5U) 기반의 루팅된 Xiaomi Redmi Note 6853 800G 스마트폰을 테스트 장치로 사용했습니다. 운영 체제는 MIUI Global 12.5.2.0(Android 11 RP1A.200720.011)입니다.
장치에 탑재된 미디어 관련 드라이버가 몇 개에 불과하기 때문에 AP와 DSP 간의 통신을 담당하는 드라이버를 찾는 것이 어렵지 않았습니다.
DSP 칩의 펌웨어 수준에서 코드를 실행하여 실행할 수 있는 공격은 다음과 같습니다.
- 권한 에스컬레이션 및 액세스 제어 시스템 우회: 사진, 비디오, 통화 녹음, 마이크 데이터, GPS 등과 같은 데이터의 보이지 않는 캡처
- 서비스 거부 및 악의적 행위: 정보에 대한 액세스 차단, 급속 충전 중 과열 보호 비활성화.
- 악성 활동 숨기기 – 펌웨어 수준에서 실행되는 완전히 보이지 않고 지울 수 없는 악성 구성 요소를 만듭니다.
- 이미지나 동영상에 미묘한 태그를 추가한 다음 게시된 데이터를 사용자에게 연결하는 등 사용자를 감시하기 위해 태그를 첨부합니다.
MediaTek Audio HAL의 취약점에 대한 자세한 내용은 아직 공개되지 않았지만, 그러나 그는나머지 세 가지 취약점 DSP 펌웨어에서 IPI 메시지를 처리할 때 잘못된 경계 검사로 인해 발생합니다. (프로세서 간 인터럽트) audio_ipi 오디오 드라이버가 DSP로 전송합니다.
이러한 문제로 인해 공유 메모리에 할당된 실제 크기를 확인하지 않고 전송된 데이터의 크기에 대한 정보를 IPI 패킷 내의 필드에서 가져온 펌웨어 제공 처리기에서 제어된 버퍼 오버플로가 발생할 수 있습니다.
실험 중에 드라이버에 액세스하기 위해 일반 Android 애플리케이션에 액세스할 수 없는 직접 ioctls 호출 또는 /vendor/lib/hw/audio.primary.mt6853.so 라이브러리를 사용합니다. 그러나 연구원들은 타사 응용 프로그램에서 사용할 수 있는 디버깅 옵션 사용을 기반으로 명령을 보내는 해결 방법을 찾았습니다.
DSP와의 상호 작용을 위한 호출을 제공하는 MediaTek Aurisys HAL 라이브러리(libfvaudio.so)를 공격하기 위해 Android AudioManager 서비스를 호출하여 지정된 매개변수를 변경할 수 있습니다. 이 솔루션을 차단하기 위해 MediaTek은 AudioManager를 통해 PARAM_FILE 명령을 사용하는 기능을 제거했습니다.
최종적으로 그것에 대해 더 많이 알고 싶다면 세부 사항을 확인할 수 있습니다 다음 링크에서.