Дещо тому днів дослідники Checkpoint звільнили новини про те, що вони виявили три вразливості (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) у прошивці чіпів MediaTek DSP, а також уразливість у рівні обробки звуку MediaTek Audio HAL (CVE-2021-0673). У разі успішного використання вразливостей зловмисник може організувати прослуховування користувача з непривілейованого додатка для платформи Android.
У 2021 На частку MediaTek припадає приблизно 37% відвантажень спеціалізованих чіпсів для смартфони та SoC (За іншими даними, у другому кварталі 2021 року частка MediaTek серед виробників DSP-чіпів для смартфонів становила 43%).
Серед іншого, чіпи MediaTek DSP Вони використовуються у флагманських смартфонах Xiaomi, Oppo, Realme і Vivo. Чіпи MediaTek, засновані на мікропроцесорі Tensilica Xtensa, використовуються в смартфонах для виконання таких операцій, як обробка звуку, зображення та відео, в обчислювальній роботі для систем доповненої реальності, комп’ютерного зору та машинного навчання, а також для швидкої зарядки.
Прошивка зворотного інженерії для мікросхем DSP від MediaTek на базі платформи FreeRTOS показав різні способи запуску коду на стороні мікропрограми та отримання контролю над операціями DSP шляхом надсилання спеціально створених запитів від непривілейованих програм для платформи Android.
Практичні приклади атак були продемонстровані на Xiaomi Redmi Note 9 5G, оснащеному системою MediaTek MT6853 SoC (Dimensity 800U). Зазначається, що OEM-виробники вже отримали виправлення вразливості в жовтневому оновленні мікропрограми MediaTek.
Мета нашого дослідження — знайти спосіб атакувати Android Audio DSP. По-перше, нам потрібно зрозуміти, як Android, запущений на процесорі програм (AP), взаємодіє з аудіопроцесором. Очевидно, має бути контролер, який чекає запитів із простору користувача Android, а потім за допомогою якогось типу міжпроцесорного зв’язку (IPC) пересилає ці запити до DSP для обробки.
В якості тестового пристрою ми використовували смартфон Xiaomi Redmi Note 9 5G, заснований на чіпсеті MT6853 (Dimensity 800U). Операційна система MIUI Global 12.5.2.0 (Android 11 RP1A.200720.011).
Оскільки на пристрої є лише кілька медіа-драйверів, знайти драйвер, відповідальний за зв’язок між точкою доступу та DSP, було неважко.
Серед атак, які можна здійснити, виконавши його код на рівні мікропрограми мікросхеми DSP:
- Обхід системи контролю доступу та посилення привілеїв: невидиме захоплення таких даних, як фотографії, відео, записи дзвінків, дані з мікрофона, GPS тощо.
- Відмова в обслуговуванні та шкідливі дії: блокувати доступ до інформації, відключати захист від перегріву під час швидкої зарядки.
- Приховати зловмисну активність – створюйте повністю невидимі та незмивні шкідливі компоненти, які запускаються на рівні мікропрограми.
- Додайте теги, щоб шпигувати за користувачем, наприклад, додайте тонкі теги до зображення або відео, а потім зв’яжіть опубліковані дані з користувачем.
Деталі уразливості в MediaTek Audio HAL ще не розкриті, але ляк три інші вразливості у прошивці DSP викликані неправильною перевіркою краю під час обробки повідомлень IPI (Inter-Processor Interrupt), що надсилається звуковим драйвером audio_ipi до DSP.
Ці проблеми дозволяють викликати контрольоване переповнення буфера в обробниках, наданих мікропрограмою, в яких інформація про розмір переданих даних була взята з поля в пакеті IPI, без перевірки фактичного розміру, виділеного в спільній пам'яті. .
Щоб отримати доступ до контролера під час експериментів, ми використовуємо прямі виклики ioctls або бібліотеку /vendor/lib/hw/audio.primary.mt6853.so, які недоступні для звичайних програм Android. Однак дослідники знайшли рішення для надсилання команд на основі використання параметрів налагодження, доступних для сторонніх програм.
Вказані параметри можна змінити, викликавши службу Android AudioManager для атаки на бібліотеки MediaTek Aurisys HAL (libfvaudio.so), які забезпечують виклики для взаємодії з DSP. Щоб заблокувати це рішення, MediaTek виключив можливість використання команди PARAM_FILE через AudioManager.
В кінці кінців якщо вам цікаво дізнатись більше про це, Ви можете перевірити деталі У наступному посиланні.