Обнаружены 3 уязвимости в прошивке на чипах MediaTek DSP

Некоторое время назад дней освобождены исследователи контрольно-пропускного пункта новость о том, что они выявили три уязвимости (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) в прошивке микросхем MediaTek DSP, а также уязвимость в уровне обработки звука MediaTek Audio HAL (CVE-2021-0673). В случае успешного использования уязвимостей злоумышленник может организовать перехват пользователя из непривилегированного приложения для платформы Android.

В 2021, MediaTek составляет около 37% отгрузок специализированных чипов для смартфоны и SoC (По другим данным, во втором квартале 2021 года доля MediaTek среди производителей чипов DSP для смартфонов составила 43%).

Среди прочего, чипы MediaTek DSP Они используются во флагманских смартфонах Xiaomi, Oppo, Realme и Vivo. Чипы MediaTek, основанные на микропроцессоре Tensilica Xtensa, используются в смартфонах для выполнения таких операций, как обработка звука, изображений и видео, в вычислениях для систем дополненной реальности, компьютерного зрения и машинного обучения, а также для быстрой зарядки.

Прошивка обратного инжиниринга для микросхем DSP от MediaTek на платформе FreeRTOS раскрыли различные способы запуска кода на стороне прошивки и получения контроля над операциями DSP путем отправки специально созданных запросов из непривилегированных приложений для платформы Android.

Практические примеры атак были продемонстрированы на Xiaomi Redmi Note 9 5G, оснащенном SoC MediaTek MT6853 (Dimensity 800U). Отмечается, что OEM-производители уже получили исправления уязвимостей в октябрьском обновлении прошивки MediaTek.

Цель нашего исследования - найти способ атаковать DSP аудио Android. Во-первых, нам нужно понять, как Android, работающий на процессоре приложений (AP), взаимодействует с аудиопроцессором. Очевидно, что должен быть контроллер, который ожидает запросов из пользовательского пространства Android, а затем, используя какой-либо вид межпроцессорной связи (IPC), пересылает эти запросы на DSP для обработки.

В качестве тестового устройства мы использовали смартфон Xiaomi Redmi Note 9 5G с root-правами на чипсете MT6853 (Dimensity 800U). Операционная система - MIUI Global 12.5.2.0 (Android 11 RP1A.200720.011).

Поскольку на устройстве присутствует только несколько драйверов, связанных с носителями, было несложно найти драйвер, отвечающий за связь между точкой доступа и DSP.

Среди атак, которые могут быть осуществлены путем выполнения его кода на уровне прошивки микросхемы DSP:

  • Обход системы контроля доступа и повышение привилегий: невидимый захват данных, таких как фотографии, видео, записи разговоров, данные с микрофона, GPS и т. Д.
  • Отказ в обслуживании и злонамеренные действия: заблокировать доступ к информации, отключить защиту от перегрева при быстрой зарядке.
  • Скрыть вредоносную активность - создавайте полностью невидимые и неизгладимые вредоносные компоненты, работающие на уровне прошивки.
  • Прикрепляйте теги, чтобы шпионить за пользователем, например, добавляйте незаметные теги к изображению или видео, а затем связывайте опубликованные данные с пользователем.

Подробности уязвимости в MediaTek Audio HAL пока не разглашаются, но якак три другие уязвимости в прошивке DSP вызваны неправильной проверкой края при обработке сообщений IPI (Межпроцессорное прерывание), отправляемое аудиодрайвером audio_ipi на DSP.

Эти проблемы позволяют вызвать контролируемое переполнение буфера в обработчиках, предоставляемых встроенным программным обеспечением, в котором информация о размере передаваемых данных была взята из поля в пакете IPI, без проверки фактического размера, выделенного в разделяемой памяти. .

Для доступа к контроллеру во время экспериментов мы используем прямые вызовы ioctls или библиотеку /vendor/lib/hw/audio.primary.mt6853.so, которые недоступны для обычных приложений Android. Однако исследователи нашли решение для отправки команд, основанное на использовании параметров отладки, доступных для сторонних приложений.

Указанные параметры можно изменить, вызвав службу Android AudioManager для атаки на библиотеки MediaTek Aurisys HAL (libfvaudio.so), которые предоставляют вызовы для взаимодействия с DSP. Чтобы заблокировать это решение, MediaTek удалил возможность использовать команду PARAM_FILE через AudioManager.

В конце концов если вам интересно узнать об этом больше, вы можете проверить детали По следующей ссылке.


Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.