Một số trước ngày các nhà nghiên cứu Checkpoint phát hành tin tức rằng họ đã xác định được ba lỗ hổng (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) trong phần sụn của chip DSP MediaTek, cũng như lỗ hổng trong lớp xử lý âm thanh của MediaTek Audio HAL (CVE-2021-0673). Trong trường hợp khai thác thành công các lỗ hổng, kẻ tấn công có thể tổ chức nghe trộm người dùng từ một ứng dụng không có đặc quyền dành cho nền tảng Android.
En 2021, MediaTek chiếm khoảng 37% lô hàng chip chuyên dụng cho điện thoại thông minh và SoC (Theo dữ liệu khác, trong quý 2021 năm 43, thị phần của MediaTek giữa các nhà sản xuất chip DSP cho điện thoại thông minh là XNUMX%).
Trong số những thứ khác, chip DSP của MediaTek Chúng được sử dụng trong các điện thoại thông minh hàng đầu của Xiaomi, Oppo, Realme và Vivo. Chip MediaTek, dựa trên bộ vi xử lý Tensilica Xtensa, được sử dụng trong điện thoại thông minh để thực hiện các hoạt động như xử lý âm thanh, hình ảnh và video, trong tính toán cho hệ thống thực tế tăng cường, thị giác máy tính và học máy, cũng như để thực hiện sạc nhanh.
Phần mềm cơ sở kỹ thuật đảo ngược cho chip DSP từ MediaTek dựa trên nền tảng FreeRTOS tiết lộ nhiều cách khác nhau để chạy mã ở phía phần sụn và giành quyền kiểm soát các hoạt động DSP bằng cách gửi các yêu cầu được chế tạo đặc biệt từ các ứng dụng không có đặc quyền cho nền tảng Android.
Các ví dụ thực tế về các cuộc tấn công đã được chứng minh trên Xiaomi Redmi Note 9 5G được trang bị SoC MediaTek MT6853 (Mật độ 800U). Cần lưu ý rằng các OEM đã nhận được các bản sửa lỗi lỗ hổng trong bản cập nhật chương trình cơ sở tháng XNUMX của MediaTek.
Mục tiêu nghiên cứu của chúng tôi là tìm cách tấn công Android Audio DSP. Đầu tiên, chúng ta cần hiểu cách Android chạy trên bộ xử lý ứng dụng (AP) giao tiếp với bộ xử lý âm thanh. Rõ ràng, phải có một bộ điều khiển đợi các yêu cầu từ không gian người dùng Android và sau đó sử dụng một số loại giao tiếp giữa các bộ xử lý (IPC) để chuyển tiếp các yêu cầu này đến DSP để xử lý.
Chúng tôi đã sử dụng điện thoại thông minh Xiaomi Redmi Note 9 5G đã root dựa trên chipset MT6853 (Mật độ 800U) làm thiết bị thử nghiệm. Hệ điều hành là MIUI Global 12.5.2.0 (Android 11 RP1A.200720.011).
Vì chỉ có một số trình điều khiển liên quan đến phương tiện được giới thiệu trên thiết bị, nên không khó để tìm trình điều khiển chịu trách nhiệm giao tiếp giữa AP và DSP.
Trong số các cuộc tấn công có thể được thực hiện bằng cách thực thi mã của nó ở cấp phần sụn của chip DSP:
- Bỏ qua hệ thống kiểm soát truy cập và leo thang đặc quyền: thu thập dữ liệu vô hình như ảnh, video, ghi âm cuộc gọi, dữ liệu từ micrô, GPS, v.v.
- Từ chối dịch vụ và các hành động độc hại: chặn quyền truy cập thông tin, tắt tính năng bảo vệ quá nhiệt trong quá trình sạc nhanh.
- Ẩn Hoạt động Độc hại - Tạo các thành phần độc hại hoàn toàn vô hình và không thể xóa được chạy ở cấp phần sụn.
- Đính kèm các thẻ để theo dõi người dùng, chẳng hạn như thêm các thẻ nhỏ vào hình ảnh hoặc video rồi liên kết dữ liệu đã đăng với người dùng.
Chi tiết về lỗ hổng trong MediaTek Audio HAL vẫn chưa được tiết lộ, nhưng tôinhư ba lỗ hổng khác trong phần sụn DSP là do kiểm tra cạnh không chính xác khi xử lý thông báo IPI (Ngắt giữa bộ xử lý) do trình điều khiển âm thanh audio_ipi gửi tới DSP.
Những sự cố này có thể gây ra tràn bộ đệm có kiểm soát trong các trình xử lý do chương trình cơ sở cung cấp, trong đó thông tin về kích thước của dữ liệu đã truyền được lấy từ một trường trong gói IPI mà không xác minh kích thước thực được phân bổ trong bộ nhớ dùng chung .
Để truy cập bộ điều khiển trong quá trình thử nghiệm, chúng tôi sử dụng lệnh gọi ioctls trực tiếp hoặc thư viện /vendor/lib/hw/audio.primary.mt6853.so mà các ứng dụng Android thông thường không thể truy cập được. Tuy nhiên, các nhà nghiên cứu đã tìm ra giải pháp để gửi lệnh dựa trên việc sử dụng các tùy chọn gỡ lỗi có sẵn cho các ứng dụng của bên thứ ba.
Các tham số được chỉ định có thể được thay đổi bằng cách gọi dịch vụ Android AudioManager để tấn công các thư viện MediaTek Aurisys HAL (libfvaudio.so), cung cấp các lệnh gọi tương tác với DSP. Để chặn giải pháp này, MediaTek đã loại bỏ khả năng sử dụng lệnh PARAM_FILE thông qua AudioManager.
Cuối cùng nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra các chi tiết Trong liên kết sau đây.