Något sedan dagar Checkpoint-forskare avslöjade nyheten att de har identifierat tre sårbarheter (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) i den fasta programvaran för MediaTek DSP-chips, samt en sårbarhet i ljudbearbetningsskiktet i MediaTek Audio HAL (CVE-2021-0673). I händelse av ett framgångsrikt utnyttjande av sårbarheterna kan en angripare ordna avlyssning av användaren från en oprivilegierad applikation för Android-plattformen.
S 2021, MediaTek står för cirka 37 % av transporter av specialiserade chips för smartphones och SoCs (enligt andra uppgifter, under andra kvartalet 2021, var MediaTeks andel bland tillverkare av smarttelefon DSP-chips 43%).
Bland annat MediaTek DSP-chips de används i flaggskeppssmarttelefoner från Xiaomi, Oppo, Realme och Vivo. MediaTek-chips, baserade på Tensilica Xtensa-mikroprocessorn, används i smartphones för att utföra operationer som ljud-, bild- och videobearbetning, i datoranvändning för augmented reality-system, datorseende och maskininlärning, samt för att implementera laddning.
Omvänd konstruktion av firmware för DSP-chips från MediaTek baserat på FreeRTOS-plattformen avslöjade olika sätt att exekvera kod på firmwaresidan och få kontroll över DSP-operationer genom att skicka specialgjorda förfrågningar från icke-privilegierade applikationer för Android-plattformen.
Praktiska exempel på attacker demonstrerades på en Xiaomi Redmi Note 9 5G utrustad med MediaTek MT6853 SoC (Dimensity 800U). Det noteras att OEM-tillverkare redan har fått sårbarhetskorrigeringar i oktobers firmwareuppdatering från MediaTek.
Målet med vår forskning är att hitta ett sätt att attackera Android Audio DSP. Först måste vi förstå hur Android som körs på applikationsprocessorn (AP) kommunicerar med ljudprocessorn. Uppenbarligen måste det finnas en kontroller som väntar på Android-användarlandförfrågningar och sedan, med hjälp av någon form av Inter-Processor Communication (IPC), vidarebefordrar dessa förfrågningar till DSP:n för bearbetning.
Vi använde en rotad Xiaomi Redmi Note 9 5G smartphone baserad på MT6853-chipset (Dimensity 800U) som en testenhet. Operativsystemet är MIUI Global 12.5.2.0 (Android 11 RP1A.200720.011).
Eftersom det bara finns ett fåtal medierelaterade drivrutiner på enheten, var det inte svårt att hitta drivrutinen som ansvarar för kommunikationen mellan AP och DSP.
Bland attackerna som kan utföras genom att exekvera din kod på firmwarenivån för DSP-chippet:
- Privilegeeskalering och förbikoppling av åtkomstkontrollsystem: Osynlig fångst av data som foton, videor, samtalsinspelningar, data från en mikrofon, GPS, etc.
- Denial of service och skadliga handlingar: blockerar åtkomst till information, inaktiverar överhettningsskydd under snabbladdning.
- Dölj skadlig aktivitet – Skapa helt osynliga och outplånliga skadliga komponenter som körs på firmwarenivå.
- Bifoga taggar för att spionera på en användare, som att lägga till subtila taggar till en bild eller video och sedan länka den postade informationen till användaren.
Detaljerna om sårbarheten i MediaTek Audio HAL har ännu inte avslöjats, men hande andra tre sårbarheterna i DSP-firmware orsakas av felaktig gränskontroll vid behandling av IPI-meddelanden (Inter-Processor Interrupt) skickat av audio_ipi ljuddrivrutinen till DSP.
Dessa problem gör att ett kontrollerat buffertspill kan orsakas i hanterare som tillhandahålls av firmware, där informationen om storleken på överförd data togs från ett fält inom IPI-paketet, utan att kontrollera den faktiska storleken som allokerats i delat minne.
För att komma åt drivrutinen under experiment använder vi direkta ioctls-anrop eller biblioteket /vendor/lib/hw/audio.primary.mt6853.so, som är otillgängliga för vanliga Android-applikationer. Forskarna hittade dock en lösning för att skicka kommandon baserat på användningen av felsökningsalternativ som är tillgängliga för tredjepartsapplikationer.
De angivna parametrarna kan ändras genom att anropa Android AudioManager-tjänsten för att attackera MediaTek Aurisys HAL-bibliotek (libfvaudio.so), som ger anrop för att interagera med DSP. För att blockera denna lösning tog MediaTek bort möjligheten att använda kommandot PARAM_FILE via AudioManager.
Slutligen om du är intresserad av att veta mer om det, du kan kontrollera detaljerna I följande länk.