Pred niekoľkými dní prepustených výskumníkov z Checkpointu správy, že identifikovali tri zraniteľnosti (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) vo firmvéri čipov MediaTek DSP, ako aj zraniteľnosť vrstvy spracovania zvuku MediaTek Audio HAL (CVE-2021-0673). V prípade úspešného zneužitia zraniteľností môže útočník zorganizovať odpočúvanie používateľa z neprivilegovanej aplikácie pre platformu Android.
V 2021 MediaTek predstavuje približne 37 % zásielok špecializovaných čipov pre smartfóny a SoC (Podľa iných údajov bol v druhom štvrťroku 2021 podiel MediaTeku medzi výrobcami DSP čipov pre smartfóny 43 %).
Okrem iného aj čipy MediaTek DSP Používajú sa vo vlajkových lodiach smartfónov Xiaomi, Oppo, Realme a Vivo. Čipy MediaTek, založené na mikroprocesore Tensilica Xtensa, sa používajú v smartfónoch na vykonávanie operácií, ako je spracovanie zvuku, obrazu a videa, vo výpočtovej technike pre systémy rozšírenej reality, počítačové videnie a strojové učenie, ako aj na implementáciu rýchleho nabíjania.
Firmvér reverzného inžinierstva pre čipy DSP od MediaTek na platforme FreeRTOS odhalil rôzne spôsoby, ako spustiť kód na strane firmvéru a získať kontrolu nad operáciami DSP odoslaním špeciálne vytvorených požiadaviek z neprivilegovaných aplikácií pre platformu Android.
Praktické príklady útokov boli demonštrované na Xiaomi Redmi Note 9 5G vybavenom MediaTek MT6853 SoC (Dimensity 800U). Je potrebné poznamenať, že výrobcovia OEM už dostali opravy zraniteľností v októbrovej aktualizácii firmvéru MediaTek.
Cieľom nášho výskumu je nájsť spôsob, ako zaútočiť na Android Audio DSP. Najprv musíme pochopiť, ako Android spustený na aplikačnom procesore (AP) komunikuje so zvukovým procesorom. Je zrejmé, že musí existovať kontrolér, ktorý čaká na požiadavky z používateľského priestoru systému Android a potom pomocou nejakého druhu medziprocesorovej komunikácie (IPC) prepošle tieto požiadavky DSP na spracovanie.
Ako testovacie zariadenie sme použili zakorenený smartfón Xiaomi Redmi Note 9 5G založený na čipsete MT6853 (Dimensity 800U). Operačný systém je MIUI Global 12.5.2.0 (Android 11 RP1A.200720.011).
Keďže na zariadení je len niekoľko ovládačov súvisiacich s médiami, nebolo ťažké nájsť ovládač zodpovedný za komunikáciu medzi AP a DSP.
Medzi útoky, ktoré možno vykonať spustením jeho kódu na úrovni firmvéru čipu DSP:
- Obídenie systému kontroly prístupu a eskalácia privilégií: neviditeľné zachytávanie údajov, ako sú fotografie, videá, nahrávky hovorov, údaje z mikrofónu, GPS atď.
- Odmietnutie služby a škodlivé akcie: blokovanie prístupu k informáciám, deaktivácia ochrany proti prehriatiu počas rýchleho nabíjania.
- Skryť škodlivú aktivitu – vytvorte úplne neviditeľné a nezmazateľné škodlivé komponenty, ktoré bežia na úrovni firmvéru.
- Pripojte štítky na špehovanie používateľa, napríklad pridanie jemných štítkov k obrázku alebo videu a následné prepojenie uverejnených údajov s používateľom.
Podrobnosti o zraniteľnosti v MediaTek Audio HAL ešte neboli odhalené, ale lako tri ďalšie zraniteľnosti vo firmvéri DSP sú spôsobené nesprávnou kontrolou hrán pri spracovaní správ IPI (Inter-Processor Interrupt) odoslané audio_ipi audio ovládačom do DSP.
Tieto problémy umožňujú spôsobiť riadené pretečenie vyrovnávacej pamäte v obslužných programoch poskytovaných firmvérom, v ktorých bola informácia o veľkosti prenášaných údajov prevzatá z poľa v pakete IPI, bez overenia skutočnej veľkosti alokovanej v zdieľanej pamäti. .
Na prístup k ovládaču počas experimentov používame priame volania ioctls alebo knižnicu /vendor/lib/hw/audio.primary.mt6853.so, ktoré sú pre bežné aplikácie pre Android nedostupné. Výskumníci však našli riešenie na odosielanie príkazov na základe využitia možností ladenia dostupných pre aplikácie tretích strán.
Špecifikované parametre je možné zmeniť zavolaním služby Android AudioManager na napadnutie knižníc MediaTek Aurisys HAL (libfvaudio.so), ktoré poskytujú volania na interakciu s DSP. Aby MediaTek zablokoval toto riešenie, odstránil možnosť používať príkaz PARAM_FILE cez AudioManager.
Konečne ak máte záujem dozvedieť sa viac, môžete skontrolovať podrobnosti Na nasledujúcom odkaze.