Enige geleden dagen Checkpoint-onderzoekers vrijgelaten het nieuws dat ze drie kwetsbaarheden hebben geïdentificeerd (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) in de firmware van MediaTek DSP-chips, evenals een kwetsbaarheid in de audioverwerkingslaag van MediaTek Audio HAL (CVE-2021-0673). In het geval van een succesvol misbruik van de kwetsbaarheden, kan een aanvaller het afluisteren van de gebruiker organiseren vanuit een niet-bevoorrechte applicatie voor het Android-platform.
In 2021, MediaTek is goed voor ongeveer 37% van verzendingen van gespecialiseerde chips voor smartphones en SoC's (Volgens andere gegevens bedroeg het aandeel van MediaTek onder fabrikanten van DSP-chips voor smartphones in het tweede kwartaal van 2021 43%).
Onder andere MediaTek DSP-chips Ze worden gebruikt in de vlaggenschip-smartphones van Xiaomi, Oppo, Realme en Vivo. MediaTek-chips, gebaseerd op de Tensilica Xtensa-microprocessor, worden in smartphones gebruikt om bewerkingen uit te voeren zoals geluid-, beeld- en videoverwerking, in computing voor augmented reality-systemen, computervisie en machine learning, en om snel opladen te implementeren.
Reverse Engineering Firmware voor DSP-chips van MediaTek op basis van het FreeRTOS-platform onthulde verschillende manieren om code aan de firmware-kant uit te voeren en controle te krijgen over DSP-bewerkingen door speciaal vervaardigde verzoeken te verzenden van niet-bevoorrechte applicaties voor het Android-platform.
Praktische voorbeelden van aanvallen werden gedemonstreerd op een Xiaomi Redmi Note 9 5G uitgerust met MediaTek MT6853 SoC (Dimensity 800U). Opgemerkt wordt dat OEM's al kwetsbaarheidsoplossingen hebben ontvangen in de oktober-firmware-update van MediaTek.
Het doel van ons onderzoek is om een manier te vinden om de Android Audio DSP aan te vallen. Eerst moeten we begrijpen hoe Android op de applicatieprocessor (AP) communiceert met de audioprocessor. Het is duidelijk dat er een controller moet zijn die wacht op verzoeken van Android-gebruikersruimte en vervolgens een soort van interprocessorcommunicatie (IPC) gebruikt die deze verzoeken doorstuurt naar de DSP voor verwerking.
We gebruikten een geroote Xiaomi Redmi Note 9 5G-smartphone op basis van de MT6853 (Dimensity 800U) chipset als testapparaat. Het besturingssysteem is MIUI Global 12.5.2.0 (Android 11 RP1A.200720.011).
Omdat er maar een paar mediagerelateerde stuurprogramma's op het apparaat staan, was het niet moeilijk om de bestuurder te vinden die verantwoordelijk is voor de communicatie tussen het AP en de DSP.
Een van de aanvallen die kunnen worden uitgevoerd door de code uit te voeren op het firmwareniveau van de DSP-chip:
- Toegangscontrolesysteem bypass en privilege-escalatie: onzichtbare vastlegging van gegevens zoals foto's, video's, gespreksopnames, gegevens van een microfoon, GPS, enz.
- Denial of service en kwaadwillende acties: toegang tot informatie blokkeren, oververhittingsbeveiliging uitschakelen tijdens snelladen.
- Verberg schadelijke activiteit - Creëer volledig onzichtbare en onuitwisbare schadelijke componenten die op firmwareniveau worden uitgevoerd.
- Voeg tags toe om een gebruiker te bespioneren, zoals het toevoegen van subtiele tags aan een afbeelding of video en het vervolgens koppelen van de geposte gegevens aan de gebruiker.
Details van de kwetsbaarheid in MediaTek Audio HAL moeten nog worden onthuld, maar ikals drie andere kwetsbaarheden in DSP-firmware worden veroorzaakt door een onjuiste randcontrole bij het verwerken van IPI-berichten (Inter-Processor Interrupt) verzonden door de audio_ipi audio driver naar de DSP.
Deze problemen maken het mogelijk om een gecontroleerde bufferoverloop te veroorzaken in de handlers die door de firmware worden geleverd, waarbij de informatie over de grootte van de verzonden gegevens uit een veld in het IPI-pakket is gehaald, zonder de werkelijke grootte te verifiëren die in het gedeelde geheugen is toegewezen .
Om tijdens experimenten toegang te krijgen tot de controller, gebruiken we directe ioctls-aanroepen of de /vendor/lib/hw/audio.primary.mt6853.so-bibliotheek, die niet toegankelijk zijn voor reguliere Android-apps. De onderzoekers hebben echter een oplossing gevonden om opdrachten te verzenden op basis van het gebruik van foutopsporingsopties die beschikbaar zijn voor toepassingen van derden.
De opgegeven parameters kunnen worden gewijzigd door de Android AudioManager-service aan te roepen om de MediaTek Aurisys HAL-bibliotheken (libfvaudio.so) aan te vallen, die oproepen bieden voor interactie met de DSP. Om deze oplossing te blokkeren, heeft MediaTek de mogelijkheid verwijderd om de opdracht PARAM_FILE te gebruiken via AudioManager.
Eindelijk als u er meer over wilt weten, u kunt de details controleren In de volgende link.