บางส่วนที่ผ่านมา วันนักวิจัยด่านปล่อยตัว ข่าวที่ตรวจพบช่องโหว่ 2021 จุด (CVE-0661-2021, CVE-0662-2021, CVE-0663-XNUMX) ในเฟิร์มแวร์ของชิป MediaTek DSP รวมถึงช่องโหว่ในเลเยอร์การประมวลผลเสียงของ MediaTek Audio HAL (CVE-2021-0673) ในกรณีที่ประสบความสำเร็จในการแสวงหาประโยชน์จากช่องโหว่ ผู้โจมตีสามารถจัดระเบียบการดักฟังของผู้ใช้จากแอปพลิเคชันที่ไม่ได้รับสิทธิพิเศษสำหรับแพลตฟอร์ม Android
2021 en, MediaTek คิดเป็นประมาณ 37% ของการจัดส่งชิปพิเศษสำหรับ สมาร์ทโฟนและ SoCs (ตามข้อมูลอื่น ๆ ในไตรมาสที่สองของปี 2021 ส่วนแบ่งของ MediaTek ในหมู่ผู้ผลิตชิป DSP สำหรับสมาร์ทโฟนอยู่ที่ 43%)
เหนือสิ่งอื่นใด ชิป MediaTek DSP ใช้ในสมาร์ทโฟนเรือธงของ Xiaomi, Oppo, Realme และ Vivo ชิป MediaTek ซึ่งใช้ไมโครโปรเซสเซอร์ Tensilica Xtensa ใช้ในสมาร์ทโฟนเพื่อดำเนินการต่างๆ เช่น การประมวลผลเสียง ภาพ และวิดีโอ ในการคำนวณสำหรับระบบ Augmented Reality คอมพิวเตอร์วิทัศน์และการเรียนรู้ของเครื่อง รวมถึงการชาร์จไฟ รวดเร็ว
เฟิร์มแวร์วิศวกรรมย้อนกลับสำหรับชิป DSP จาก MediaTek บนแพลตฟอร์ม FreeRTOS เปิดเผยวิธีต่างๆ ในการรันโค้ดบนฝั่งเฟิร์มแวร์และควบคุมการทำงานของ DSP โดยส่งคำขอที่สร้างขึ้นเป็นพิเศษจากแอปพลิเคชันที่ไม่ได้รับสิทธิพิเศษสำหรับแพลตฟอร์ม Android
ตัวอย่างการปฏิบัติการโจมตีได้แสดงให้เห็นใน Xiaomi Redmi Note 9 5G ที่ติดตั้ง MediaTek MT6853 SoC (Dimensity 800U) มีข้อสังเกตว่า OEM ได้รับการแก้ไขช่องโหว่แล้วในการอัปเดตเฟิร์มแวร์เดือนตุลาคมของ MediaTek
เป้าหมายของการวิจัยของเราคือการหาวิธีโจมตี Android Audio DSP อันดับแรก เราต้องเข้าใจว่า Android ที่ทำงานบนตัวประมวลผลแอปพลิเคชัน (AP) สื่อสารกับตัวประมวลผลเสียงอย่างไร เห็นได้ชัดว่าต้องมีตัวควบคุมที่รอคำขอจากพื้นที่ผู้ใช้ Android จากนั้นใช้การสื่อสารระหว่างโปรเซสเซอร์ (IPC) บางประเภทส่งต่อคำขอเหล่านี้ไปยัง DSP เพื่อดำเนินการ
เราใช้สมาร์ทโฟน Xiaomi Redmi Note 9 5G ที่รูทแล้วซึ่งใช้ชิปเซ็ต MT6853 (Dimensity 800U) เป็นอุปกรณ์ทดสอบ ระบบปฏิบัติการคือ MIUI Global 12.5.2.0 (Android 11 RP1A.200720.011)
เนื่องจากมีไดรเวอร์ที่เกี่ยวข้องกับสื่อเพียงไม่กี่ตัวที่แสดงบนอุปกรณ์ จึงไม่ยากที่จะค้นหาไดรเวอร์ที่รับผิดชอบในการสื่อสารระหว่าง AP และ DSP
ในบรรดาการโจมตีที่สามารถทำได้โดยการรันโค้ดที่ระดับเฟิร์มแวร์ของชิป DSP:
- บายพาสระบบควบคุมการเข้าออกและการเพิ่มสิทธิพิเศษ: การบันทึกข้อมูลที่มองไม่เห็น เช่น ภาพถ่าย วิดีโอ การบันทึกการโทร ข้อมูลจากไมโครโฟน GPS ฯลฯ
- การปฏิเสธบริการและการกระทำที่เป็นอันตราย: บล็อกการเข้าถึงข้อมูล ปิดใช้งานการป้องกันความร้อนสูงเกินไประหว่างการชาร์จอย่างรวดเร็ว
- ซ่อนกิจกรรมที่เป็นอันตราย - สร้างส่วนประกอบที่เป็นอันตรายที่มองไม่เห็นและลบไม่ได้ที่ทำงานในระดับเฟิร์มแวร์
- แนบแท็กเพื่อสอดแนมผู้ใช้ เช่น การเพิ่มแท็กที่ละเอียดอ่อนลงในรูปภาพหรือวิดีโอ แล้วเชื่อมโยงข้อมูลที่โพสต์กับผู้ใช้
รายละเอียดของช่องโหว่ใน MediaTek Audio HAL ยังไม่เปิดเผย แต่ lเป็นช่องโหว่อีกสามประการ ในเฟิร์มแวร์ DSP เกิดจากการตรวจสอบขอบที่ไม่ถูกต้องเมื่อประมวลผลข้อความ IPI (Inter-Processor Interrupt) ที่ส่งโดยไดรเวอร์เสียง audio_ipi ไปยัง DSP
ปัญหาเหล่านี้ทำให้สามารถทำให้เกิดการล้นของบัฟเฟอร์ควบคุมในตัวจัดการที่จัดเตรียมโดยเฟิร์มแวร์ ซึ่งข้อมูลเกี่ยวกับขนาดของข้อมูลที่ส่งถูกนำมาจากฟิลด์ภายในแพ็กเก็ต IPI โดยไม่ต้องตรวจสอบขนาดจริงที่จัดสรรในหน่วยความจำที่ใช้ร่วมกัน .
ในการเข้าถึงตัวควบคุมระหว่างการทดลอง เราใช้การเรียก ioctls โดยตรงหรือไลบรารี /vendor/lib/hw/audio.primary.mt6853.so ซึ่งไม่สามารถเข้าถึงแอป Android ทั่วไปได้ อย่างไรก็ตาม นักวิจัยพบวิธีแก้ปัญหาในการส่งคำสั่งตามการใช้ตัวเลือกการดีบักที่มีให้สำหรับแอปพลิเคชันบุคคลที่สาม
พารามิเตอร์ที่ระบุสามารถเปลี่ยนแปลงได้โดยการเรียกใช้บริการ Android AudioManager เพื่อโจมตีไลบรารี MediaTek Aurisys HAL (libfvaudio.so) ซึ่งให้การเรียกเพื่อโต้ตอบกับ DSP ในการบล็อกโซลูชันนี้ MediaTek ได้ลบความสามารถในการใช้คำสั่ง PARAM_FILE ผ่าน AudioManager
ในที่สุด หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติม คุณสามารถตรวจสอบรายละเอียด ในลิงค์ต่อไปนี้.