Disa më parë ditë hulumtuesit e pikave të kontrollit u liruan lajmi se ata kanë identifikuar tre dobësi (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) në firmuerin e çipave MediaTek DSP, si dhe një cenueshmëri në shtresën e përpunimit audio të MediaTek Audio HAL (CVE-2021-0673). Në rast të një shfrytëzimi të suksesshëm të dobësive, një sulmues mund të organizojë përgjimin e përdoruesit nga një aplikacion jo i privilegjuar për platformën Android.
Në 2021 MediaTek përbën rreth 37% i dërgesave të çipave të specializuar për telefonat inteligjentë dhe SoC (Sipas të dhënave të tjera, në tremujorin e dytë të 2021, pjesa e MediaTek midis prodhuesve të çipave DSP për telefonat inteligjentë ishte 43%).
Ndër të tjera, çipat MediaTek DSP Ato përdoren në telefonat inteligjentë kryesorë të Xiaomi, Oppo, Realme dhe Vivo. Çipat MediaTek, të bazuara në mikroprocesorin Tensilica Xtensa, përdoren në telefonat inteligjentë për të kryer operacione të tilla si përpunimi i zërit, imazhit dhe videove, në llogaritjen për sistemet e realitetit të shtuar, vizionin kompjuterik dhe mësimin e makinerive, si dhe për të zbatuar karikimin.
Firmware i Inxhinierisë së kundërt për Çipat DSP nga MediaTek bazuar në platformën FreeRTOS zbuloi mënyra të ndryshme për të ekzekutuar kodin në anën e firmuerit dhe për të fituar kontrollin mbi operacionet DSP duke dërguar kërkesa të krijuara posaçërisht nga aplikacione jo të privilegjuara për platformën Android.
Shembuj praktikë të sulmeve u demonstruan në një Xiaomi Redmi Note 9 5G të pajisur me MediaTek MT6853 SoC (Dimensity 800U). Vihet re se OEM-të kanë marrë tashmë rregullime dobësie në përditësimin e firmuerit të MediaTek në tetor.
Qëllimi i kërkimit tonë është të gjejmë një mënyrë për të sulmuar Android Audio DSP. Së pari, duhet të kuptojmë se si Android që funksionon në procesorin e aplikacionit (AP) komunikon me procesorin audio. Natyrisht, duhet të ketë një kontrollues që pret kërkesat nga hapësira e përdoruesit të Android dhe më pas duke përdorur një lloj komunikimi ndërprocesor (IPC) ia përcjell këto kërkesa DSP-së për përpunim.
Ne përdorëm një smartphone me rrënjë Xiaomi Redmi Note 9 5G të bazuar në çipin MT6853 (Dimensity 800U) si një pajisje testimi. Sistemi operativ është MIUI Global 12.5.2.0 (Android 11 RP1A.200720.011).
Duke qenë se ka vetëm disa drejtues të lidhur me media të paraqitura në pajisje, nuk ishte e vështirë të gjeje drejtuesin përgjegjës për komunikimin midis AP dhe DSP.
Ndër sulmet që mund të kryhen duke ekzekutuar kodin e tij në nivelin e firmuerit të çipit DSP:
- Anashkalimi i sistemit të kontrollit të aksesit dhe përshkallëzimi i privilegjeve: kapja e padukshme e të dhënave si fotot, videot, regjistrimet e thirrjeve, të dhënat nga mikrofoni, GPS, etj.
- Mohimi i shërbimit dhe veprimet me qëllim të keq: bllokoni aksesin në informacion, çaktivizoni mbrojtjen nga mbinxehja gjatë karikimit të shpejtë.
- Fshih aktivitetin me qëllim të keq - Krijo komponentë me qëllim të keq plotësisht të padukshëm dhe të pashlyeshëm që funksionojnë në nivelin e firmuerit.
- Bashkangjisni etiketa për të spiunuar një përdorues, të tilla si shtimi i etiketave delikate në një imazh ose video dhe më pas lidhja e të dhënave të postuara me përdoruesin.
Detajet e cenueshmërisë në MediaTek Audio HAL ende nuk janë zbuluar, por lsi tre dobësi të tjera në firmware DSP shkaktohen nga një kontroll i gabuar i skajeve gjatë përpunimit të mesazheve IPI (Inter-Processor Interrupt) dërguar nga drejtuesi audio_ipi te DSP.
Këto probleme bëjnë të mundur shkaktimin e një tejmbushjeje të kontrolluar të buferit në mbajtësit e ofruar nga firmware, në të cilët informacioni për madhësinë e të dhënave të transmetuara është marrë nga një fushë brenda paketës IPI, pa verifikuar madhësinë aktuale të alokuar në memorien e përbashkët. .
Për të aksesuar kontrolluesin gjatë eksperimenteve, ne përdorim thirrje direkte ioctls ose bibliotekën /vendor/lib/hw/audio.primary.mt6853.so, të cilat janë të paarritshme për aplikacionet e rregullta Android. Sidoqoftë, studiuesit gjetën një zgjidhje për të dërguar komanda bazuar në përdorimin e opsioneve të korrigjimit të disponueshme për aplikacionet e palëve të treta.
Parametrat e specifikuar mund të ndryshohen duke telefonuar shërbimin Android AudioManager për të sulmuar bibliotekat MediaTek Aurisys HAL (libfvaudio.so), të cilat ofrojnë thirrje për të ndërvepruar me DSP. Për të bllokuar këtë zgjidhje, MediaTek hoqi aftësinë për të përdorur komandën PARAM_FILE përmes AudioManager.
Më në fund nëse jeni të interesuar të dini më shumë rreth kësaj, ju mund të kontrolloni detajet Në lidhjen vijuese.