Bir süre önce gün Checkpoint araştırmacıları serbest bırakıldı üç güvenlik açığı belirledikleri haberi (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) MediaTek DSP yongalarının belleniminde, ve MediaTek Audio HAL'in (CVE-2021-0673) ses işleme katmanındaki bir güvenlik açığı. Güvenlik açıklarından başarılı bir şekilde yararlanılması durumunda, bir saldırgan, Android platformu için ayrıcalıklı olmayan bir uygulamadan kullanıcının gizlice dinlenmesini organize edebilir.
Ve 2021, MediaTek yaklaşık %37'lik bir paya sahip için özel cips sevkiyatlarının akıllı telefonlar ve SoC'ler (Diğer verilere göre, 2021'in ikinci çeyreğinde MediaTek'in akıllı telefonlar için DSP yongası üreticileri arasındaki payı %43 idi).
Diğer şeylerin yanı sıra, MediaTek DSP çipleri Xiaomi, Oppo, Realme ve Vivo'nun amiral gemisi akıllı telefonlarında kullanılıyorlar. Tensilica Xtensa mikroişlemcisine dayalı MediaTek yongaları, akıllı telefonlarda ses, görüntü ve video işleme gibi işlemleri gerçekleştirmek, artırılmış gerçeklik sistemleri için hesaplama, bilgisayarla görme ve makine öğrenimi gibi işlemleri gerçekleştirmek ve ayrıca şarjı hızlı bir şekilde uygulamak için kullanılıyor.
DSP Yongaları için Tersine Mühendislik Bellenimi FreeRTOS platformuna dayalı MediaTek'ten bellenim tarafında kod çalıştırmanın ve DSP işlemleri üzerinde kontrol sahibi olmanın çeşitli yollarını ortaya çıkardı Android platformu için ayrıcalıklı olmayan uygulamalardan özel olarak hazırlanmış istekler göndererek.
MediaTek MT9 SoC (Boyut 5U) ile donatılmış bir Xiaomi Redmi Note 6853 800G'de pratik saldırı örnekleri gösterildi. OEM'lerin MediaTek'in Ekim üretici yazılımı güncellemesinde zaten güvenlik açığı düzeltmeleri aldığı belirtiliyor.
Araştırmamızın amacı, Android Audio DSP'ye saldırmanın bir yolunu bulmaktır. İlk olarak, uygulama işlemcisinde (AP) çalışan Android'in ses işlemcisi ile nasıl iletişim kurduğunu anlamamız gerekiyor. Açıkçası, Android kullanıcı alanından gelen istekleri bekleyen ve ardından bir tür işlemciler arası iletişim (IPC) kullanarak bu istekleri işleme için DSP'ye ileten bir denetleyici olmalıdır.
Test cihazı olarak MT9 (Dimensity 5U) yonga setine dayalı köklü bir Xiaomi Redmi Note 6853 800G akıllı telefon kullandık. İşletim sistemi MIUI Global 12.5.2.0'dır (Android 11 RP1A.200720.011).
Aygıtta yalnızca birkaç medyayla ilgili sürücü bulunduğundan, AP ile DSP arasındaki iletişimden sorumlu sürücüyü bulmak zor olmadı.
DSP çipinin üretici yazılımı düzeyinde kodunu yürüterek gerçekleştirilebilecek saldırılar arasında:
- Erişim kontrol sistemi atlama ve ayrıcalık yükseltme: fotoğraflar, videolar, arama kayıtları, mikrofondan gelen veriler, GPS, vb. gibi verilerin görünmez şekilde yakalanması.
- Hizmet reddi ve kötü niyetli eylemler: bilgilere erişimi engelleyin, hızlı şarj sırasında aşırı ısınma korumasını devre dışı bırakın.
- Kötü Amaçlı Etkinliği Gizle - Ürün yazılımı düzeyinde çalışan tamamen görünmez ve silinmez kötü amaçlı bileşenler oluşturun.
- Bir görüntüye veya videoya ince etiketler eklemek ve ardından yayınlanan verileri kullanıcıya bağlamak gibi bir kullanıcıyı gözetlemek için etiketler ekleyin.
MediaTek Audio HAL'deki güvenlik açığının ayrıntıları henüz açıklanmadı, ama bendiğer üç güvenlik açığı olarak DSP belleniminde IPI mesajlarını işlerken yanlış bir kenar kontrolünden kaynaklanır Audio_ipi ses sürücüsü tarafından DSP'ye gönderilen (İşlemciler Arası Kesinti).
Bu sorunlar, paylaşılan bellekte tahsis edilen gerçek boyutu doğrulamadan, iletilen verilerin boyutu hakkındaki bilgilerin IPI paketi içindeki bir alandan alındığı, bellenim tarafından sağlanan işleyicilerde kontrollü bir arabellek taşmasına neden olmayı mümkün kılar. .
Deneyler sırasında denetleyiciye erişmek için, normal Android uygulamalarına erişilemeyen doğrudan ioctls çağrılarını veya /vendor/lib/hw/audio.primary.mt6853.so kitaplığını kullanırız. Ancak araştırmacılar, üçüncü taraf uygulamalar için mevcut olan hata ayıklama seçeneklerinin kullanımına dayalı olarak komutlar göndermek için bir çözüm buldular.
Belirtilen parametreler, DSP ile etkileşim için çağrılar sağlayan MediaTek Aurisys HAL kitaplıklarına (libfvaudio.so) saldırmak için Android AudioManager hizmeti çağrılarak değiştirilebilir. Bu çözümü engellemek için MediaTek, AudioManager aracılığıyla PARAM_FILE komutunu kullanma özelliğini kaldırdı.
Nihayet hakkında daha fazla bilgi edinmek istiyorsanız, detayları kontrol edebilirsin Aşağıdaki bağlantıda.