Prieš kai kuriuos dienų Checkpoint tyrėjai išleido naujienos, kad jie nustatė tris pažeidžiamumus (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) „MediaTek DSP“ lustų programinėje įrangoje, taip pat MediaTek Audio HAL (CVE-2021-0673) garso apdorojimo sluoksnio pažeidžiamumas. Sėkmingai išnaudojus pažeidžiamumą, užpuolikas gali organizuoti vartotojo pasiklausymą iš neprivilegijuotos Android platformos programos.
En 2021, „MediaTek“ sudaro maždaug 37 proc. specializuotų lustų siuntų išmanieji telefonai ir SoC (Kitais duomenimis, 2021 m. antrąjį ketvirtį „MediaTek“ dalis tarp išmaniesiems telefonams skirtų DSP lustų gamintojų buvo 43 proc.).
Be kita ko, MediaTek DSP lustai Jie naudojami pavyzdiniuose „Xiaomi“, „Oppo“, „Realme“ ir „Vivo“ išmaniuosiuose telefonuose. „MediaTek“ lustai, pagrįsti „Tensilica Xtensa“ mikroprocesoriaus pagrindu, naudojami išmaniuosiuose telefonuose atlikti tokias operacijas kaip garso, vaizdo ir vaizdo apdorojimas, papildytos realybės sistemų skaičiavimuose, kompiuteriniame regėjime ir mašininiame mokyme, taip pat įkrovimui įgyvendinti.
DSP lustų atvirkštinės inžinerijos programinė įranga iš MediaTek, paremto FreeRTOS platforma atskleidė įvairius būdus, kaip paleisti kodą programinės įrangos pusėje ir valdyti DSP operacijas siųsdami specialiai sukurtas užklausas iš neprivilegijuotų Android platformos programų.
Praktiniai atakų pavyzdžiai buvo demonstruojami „Xiaomi Redmi Note 9 5G“ su „MediaTek MT6853 SoC“ (800U matmuo). Pažymima, kad originalios įrangos gamintojai jau gavo pažeidžiamumo pataisymus „MediaTek“ spalio mėn. programinės įrangos atnaujinime.
Mūsų tyrimo tikslas – rasti būdą, kaip atakuoti „Android“ garso DSP. Pirmiausia turime suprasti, kaip „Android“, veikianti programos procesoriuje (AP), bendrauja su garso procesoriumi. Akivaizdu, kad turi būti valdiklis, kuris laukia užklausų iš „Android“ naudotojo erdvės ir tada naudodamas tam tikrą tarpprocesorių ryšį (IPC) persiunčia šias užklausas DSP apdoroti.
Kaip bandomąjį įrenginį naudojome įsišaknijusį „Xiaomi Redmi Note 9 5G“ išmanųjį telefoną, pagrįstą MT6853 (Dimensity 800U) mikroschemų rinkiniu. Operacinė sistema yra MIUI Global 12.5.2.0 (Android 11 RP1A.200720.011).
Kadangi įrenginyje yra tik kelios su medija susijusios tvarkyklės, nebuvo sunku rasti tvarkyklę, atsakingą už ryšį tarp AP ir DSP.
Tarp atakų, kurias galima įvykdyti vykdant jo kodą DSP lusto programinės įrangos lygiu:
- Prieigos kontrolės sistemos apėjimas ir privilegijų eskalavimas: nematomas duomenų, tokių kaip nuotraukos, vaizdo įrašai, skambučių įrašai, duomenys iš mikrofono, GPS ir kt., fiksavimas.
- Paslaugų atsisakymas ir kenkėjiški veiksmai: blokuokite prieigą prie informacijos, išjunkite apsaugą nuo perkaitimo greitojo įkrovimo metu.
- Slėpti kenkėjišką veiklą – sukurkite visiškai nematomus ir neištrinamus kenkėjiškus komponentus, kurie veikia programinės aparatinės įrangos lygiu.
- Norėdami šnipinėti vartotoją, pridėkite žymes, pvz., pridėkite subtilių žymų prie vaizdo ar vaizdo įrašo ir tada susiekite paskelbtus duomenis su vartotoju.
Išsami informacija apie MediaTek Audio HAL pažeidžiamumą dar neatskleidžiama, bet lkaip ir kiti trys pažeidžiamumai DSP programinėje įrangoje atsiranda dėl neteisingo krašto patikrinimo apdorojant IPI pranešimus (Inter-Processor Interrupt), garso_ipi garso tvarkyklė siunčiama į DSP.
Šios problemos leidžia sukelti valdomą buferio perpildymą programinės aparatinės įrangos teikiamose tvarkyklėse, kuriose informacija apie perduodamų duomenų dydį buvo paimta iš IPI paketo lauko, nepatikrinus tikrojo bendrojo atmintyje skirto dydžio. .
Norėdami pasiekti valdiklį eksperimentų metu, naudojame tiesioginius ioctls iškvietimus arba /vendor/lib/hw/audio.primary.mt6853.so biblioteką, kuri nepasiekiama įprastoms „Android“ programoms. Tačiau mokslininkai rado sprendimą siųsti komandas, remiantis trečiųjų šalių programoms prieinamomis derinimo parinktimis.
Nurodytus parametrus galima pakeisti paskambinus į Android AudioManager paslaugą, kad atakuotų MediaTek Aurisys HAL bibliotekas (libfvaudio.so), kurios teikia skambučius sąveikauti su DSP. Norėdami užblokuoti šį sprendimą, „MediaTek“ pašalino galimybę naudoti komandą PARAM_FILE per „AudioManager“.
Pagaliau jei norite sužinoti daugiau apie tai, galite patikrinti išsamią informaciją Šioje nuorodoje.