काही पूर्वी दिवस चेकपॉईंट संशोधक सोडले त्यांनी तीन असुरक्षा ओळखल्या असल्याची बातमी (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) MediaTek DSP चिप्सच्या फर्मवेअरमध्ये, तसेच MediaTek Audio HAL (CVE-2021-0673) च्या ऑडिओ प्रोसेसिंग लेयरमधील भेद्यता. असुरक्षिततेचे यशस्वी शोषण झाल्यास, आक्रमणकर्ता Android प्लॅटफॉर्मसाठी विशेषाधिकार नसलेल्या ऍप्लिकेशनमधून वापरकर्त्याचे ऐकणे आयोजित करू शकतो.
2021 मध्ये, MediaTek अंदाजे 37% आहे साठी विशेष चिप्सच्या शिपमेंटची स्मार्टफोन आणि SoCs (इतर डेटानुसार, 2021 च्या दुसऱ्या तिमाहीत, स्मार्टफोनसाठी DSP चिप्सच्या निर्मात्यांमध्ये MediaTek चा वाटा 43% होता).
इतर गोष्टींबरोबरच, MediaTek DSP चिप्स ते Xiaomi, Oppo, Realme आणि Vivo च्या फ्लॅगशिप स्मार्टफोनमध्ये वापरले जातात. Tensilica Xtensa मायक्रोप्रोसेसरवर आधारित MediaTek चिप्सचा वापर स्मार्टफोन्समध्ये ध्वनी, प्रतिमा आणि व्हिडिओ प्रोसेसिंग, ऑगमेंटेड रिअॅलिटी सिस्टम्स, कॉम्प्युटर व्हिजन आणि मशीन लर्निंग, तसेच चार्जिंग जलद कार्यान्वित करण्यासाठी कॉम्प्युटिंगमध्ये केला जातो.
डीएसपी चिप्ससाठी रिव्हर्स इंजिनिअरिंग फर्मवेअर FreeRTOS प्लॅटफॉर्मवर आधारित MediaTek वरून फर्मवेअर बाजूला कोड चालवण्याचे आणि डीएसपी ऑपरेशन्सवर नियंत्रण मिळविण्याचे विविध मार्ग उघड केले Android प्लॅटफॉर्मसाठी विशेषाधिकार नसलेल्या अनुप्रयोगांकडून खास तयार केलेल्या विनंत्या पाठवून.
MediaTek MT9 SoC (Dimensity 5U) ने सुसज्ज असलेल्या Xiaomi Redmi Note 6853 800G वर हल्ल्यांची व्यावहारिक उदाहरणे दाखवण्यात आली. हे नोंदवले गेले आहे की MediaTek च्या ऑक्टोबर फर्मवेअर अपडेटमध्ये ओईएमना आधीच भेद्यता निराकरणे प्राप्त झाली आहेत.
Android Audio DSP वर हल्ला करण्याचा मार्ग शोधणे हे आमच्या संशोधनाचे ध्येय आहे. प्रथम, अॅप्लिकेशन प्रोसेसर (AP) वर चालणारे Android ऑडिओ प्रोसेसरशी कसे संवाद साधते हे समजून घेणे आवश्यक आहे. अर्थात, एक नियंत्रक असावा जो Android वापरकर्त्याच्या जागेच्या विनंतीची वाट पाहतो आणि नंतर काही प्रकारचे इंटरप्रोसेसर कम्युनिकेशन (IPC) वापरून या विनंत्या DSP कडे प्रक्रियेसाठी अग्रेषित करतो.
आम्ही चाचणी उपकरण म्हणून MT9 (Dimensity 5U) चिपसेटवर आधारित Xiaomi Redmi Note 6853 800G स्मार्टफोन वापरला. ऑपरेटिंग सिस्टम MIUI ग्लोबल 12.5.2.0 (Android 11 RP1A.200720.011) आहे.
डिव्हाइसवर केवळ काही मीडिया संबंधित ड्राइव्हर्स वैशिष्ट्यीकृत असल्याने, AP आणि DSP यांच्यातील संवादासाठी जबाबदार ड्रायव्हर शोधणे कठीण नव्हते.
डीएसपी चिपच्या फर्मवेअर स्तरावर त्याचा कोड कार्यान्वित करून हल्ले केले जाऊ शकतात:
- ऍक्सेस कंट्रोल सिस्टम बायपास आणि प्रिव्हिलेज एस्केलेशन: डेटाचे अदृश्य कॅप्चर जसे की फोटो, व्हिडिओ, कॉल रेकॉर्डिंग, मायक्रोफोन, जीपीएस इ.
- सेवेचा नकार आणि दुर्भावनापूर्ण क्रिया: माहितीचा प्रवेश अवरोधित करा, जलद चार्जिंग दरम्यान अतिउत्साही संरक्षण अक्षम करा.
- दुर्भावनायुक्त क्रियाकलाप लपवा - फर्मवेअर स्तरावर चालणारे पूर्णपणे अदृश्य आणि अमिट दुर्भावनायुक्त घटक तयार करा.
- वापरकर्त्याची हेरगिरी करण्यासाठी टॅग संलग्न करा, जसे की इमेज किंवा व्हिडिओमध्ये सूक्ष्म टॅग जोडणे आणि नंतर पोस्ट केलेला डेटा वापरकर्त्याशी लिंक करणे.
MediaTek Audio HAL मधील असुरक्षिततेचे तपशील अद्याप समोर आलेले नाहीत, पण lइतर तीन असुरक्षा म्हणून डीएसपी फर्मवेअरमध्ये आयपीआय संदेशांवर प्रक्रिया करताना चुकीच्या किनारी तपासणीमुळे होतात (इंटर-प्रोसेसर इंटरप्ट) audio_ipi ऑडिओ ड्रायव्हरने DSP ला पाठवले.
या समस्यांमुळे फर्मवेअरद्वारे प्रदान केलेल्या हँडलर्समध्ये नियंत्रित बफर ओव्हरफ्लो करणे शक्य होते, ज्यामध्ये सामायिक मेमरीमध्ये वाटप केलेल्या वास्तविक आकाराची पडताळणी न करता, आयपीआय पॅकेटमधील फील्डमधून प्रसारित डेटाच्या आकाराची माहिती घेतली जाते. .
प्रयोगांदरम्यान कंट्रोलरमध्ये प्रवेश करण्यासाठी, आम्ही थेट ioctls कॉल किंवा /vendor/lib/hw/audio.primary.mt6853.so लायब्ररी वापरतो, जे नियमित Android अॅप्ससाठी प्रवेशयोग्य नाहीत. तथापि, संशोधकांना तृतीय-पक्ष अनुप्रयोगांसाठी उपलब्ध डीबगिंग पर्यायांच्या वापरावर आधारित आदेश पाठवण्याचा उपाय सापडला.
मीडियाटेक Aurisys HAL लायब्ररी (libfvaudio.so) वर हल्ला करण्यासाठी Android AudioManager सेवेला कॉल करून निर्दिष्ट पॅरामीटर्स बदलले जाऊ शकतात, जे DSP शी संवाद साधण्यासाठी कॉल प्रदान करतात. हे समाधान अवरोधित करण्यासाठी, MediaTek ने AudioManager द्वारे PARAM_FILE कमांड वापरण्याची क्षमता काढून टाकली.
शेवटी आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास, आपण तपशील तपासू शकता पुढील लिंकवर