广告

对小米红米Note 9 5G的联发科音频DSP固件进行逆向工程,发现四个漏洞

2021-11-25 15:51:54 EDN China 阅读:
日前,外媒Check Point Research发文称使用基于MT6853(天玑800U)芯片组的小米红米Note 9 5G智能手机作为测试设备,对联发科音频 DSP 固件进行了逆向工程,并发现了几个可从 Android 用户空间访问的漏洞。

日前,外媒Check Point Research发表了《Looking for vulnerabilities in MediaTek audio DSP》,称对联发科音频 DSP 固件进行了逆向工程,并发现了几个可从 Android 用户空间访问的漏洞。641ednc

据EDN小编了解,通过与原始设备制造商 (OEM) 合作伙伴库中的漏洞相关联,Check Point Research发现的联发科安全问题可能会导致 Android 应用程序的本地权限升级。并成功利用 DSP 漏洞可能允许攻击者监听用户对话和/或隐藏恶意代码。641ednc

首先,研究人员需要了解运行在应用处理器 (AP) 上的 Android 如何与音频处理器进行通信。显然,必须有一个驱动程序等待来自 Android 用户空间的请求,然后使用某种处理器间通信 (IPC),将这些请求转发给 DSP 进行处理。641ednc

我们使用基于MT6853(天玑800U)芯片组的小米红米Note 9 5G智能手机作为测试设备。操作系统为 MIUI Global 12.5.2.0 (Android 11 RP1A.200720.011)。641ednc

641ednc

图 1:媒体驱动程序641ednc

知道如何向音频 DSP 发送 IPI 消息后,下一步是在 DSP 固件中找到此类消息的处理程序。641ednc

音频 DSP 在小米工厂更新中通过单独的audio_dsp.img图像文件呈现。获取映像的另一种方法是/dev/block/platform/bootdevice/by-name/audio_dsp从有根设备转储分区。641ednc

图像文件具有专有结构,但可以轻松重建。在我们的测试设备上,DSP 映像包含九个分区。641ednc

641ednc

图3:该audio_dsp.img结构641ednc

找到了研究音频DSP固件的方法后,研究人员发现MediaTek 音频 DSP 操作系统是 FreeRTOS 的改编版本。联发科使用了第三方内核,并在其上实现了音频和消息逻辑。641ednc

操作系统在启动时会创建许多音频任务,并将它们与场景 ID 相关联。该create_all_audio_task函数是一个工厂,我们可以在其中找到所有支持的任务和场景 ID。641ednc

在了解到Android 是如何通过/dev/audio_ipi驱动程序攻击音频 DSP得知后,他们发现一个没有特权的 Android 应用程序以及adb shell没有权限与这个驱动程序通信。SELinux的允许访问audio_ipi_device的对象factory,meta_tst以及mtk_hal_audio只有上下文。攻击者需要找到一种方法来利用联发科硬件抽象层 (HAL) 从mtk_hal_audio上下文访问 DSP 驱动程序。641ednc

在寻找攻击 Android HAL 的方法时,研究人员发现了 MediaTek 为调试目的实施的几个危险的音频设置。第三方 Android 应用程序可以滥用这些设置来攻击 MediaTek Aurisys HAL 库。641ednc

简而言之,就是让恶意应用能够对音频接口的某些部分,执行它本不该实现的相关操作。641ednc

若该 App 获取了系统级权限(比如在 Root 后的设备上、或预安装的系统应用),它甚至能够‘在音频 DSP 芯片上隐藏恶意代码’。641ednc

鉴于任何 App 都可访问音频接口固件、且该固件允许访问‘音频数据流’,因而恶意应用或在漏洞修复前对客户展开窃听。641ednc

最后,研究人员表示CVE-2021-0661、CVE-2021-0662 和 CVE-2021-0663 在音频 DSP 本身中存在漏洞,可能进一步允许执行恶意操作,例如在音频 DSP 芯片本身中执行和隐藏恶意代码.641ednc

由于 DSP 固件可以访问音频数据流,因此本地攻击者可能会使用格式错误的 IPI 消息来进行权限提升,并在理论上窃听手机用户。

据了解,已发现的 DSP 固件漏洞(CVE-2021-0661、CVE-2021-0662、CVE-2021-0663)已在 2021 年 10 月的联发科技安全公告中修复并发布。MediaTek 音频 HAL (CVE-2021-0673) 中的安全问题已于 10 月修复,并将在 2021 年 12 月的 MediaTek 安全公告中发布。641ednc

更多细节请点击原文查看:https://research.checkpoint.com/2021/looking-for-vulnerabilities-in-mediatek-audio-dsp/641ednc

Demi Xia编译641ednc

EDN China
暂无简介...
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • NFA太阳能电池揭秘:反直觉,光激发电子能量不降反增?  为了解决传统太阳能电池的难题,业界开发了一种用于收集太阳能的新型有机半导体——非富勒烯受体(NFA),这种材料在提高太阳能电池光电转换效率方面表现优异,用NFA制成的有机太阳能电池效率可接近20%。不过,尽管NFA有机半导体性能优异,但其背后的原理尚不明确···
  • 物联网应用如何推动农业智能化? 现代农民面临着前所未有的挑战,从养活全球快速增长的人口、最大限度地利用现有土地,到应对气候的不确定性和补充过度使用的土壤中的养分···
  • 解读新一代汽车高速连接标准A-PHY 随着汽车行业的快速发展,车载通信技术也在不断进步。MIPI A-PHY作为一项新兴的连接标准,专为汽车应用设计的高速串行器-解串器(SerDes)物理层接口,正逐渐成为车载通信领域的明星技术···
  • 边缘AI实例:松下电动自行车TiMOA的轮胎气压监测系统 本文展示了松下是如何在其电动助力自行车中实现AI功能的设计实例···
  • 填补传统燃料电池工作温度空白?工作在中温区的第三种电 最近,日本东京理科大学和三菱化学公司组成的研究团队,成功开发出一种新型质子传导固体氧化物燃料电池(PC-SOFC)阳极材料,所制造的电池可在300至600°C的中间温度范围内运行···
  • 核聚变,启动!人造太阳“洪荒70”真被技术宅点亮了 上海能量奇点官网日前发布消息表示,其设计研发建造的“洪荒70(HH70)”装置基于局域螺旋磁通量注入(电子枪)和离子回旋加速器加热(ICRF)两种预电离方法进行了放电实验,并成功获得了第一个等离子体。这意味着,全球首台全高温超导托卡马克装置的工程可行性获得验证。这也为米哈游宣称的“技术宅拯救世界”增添了几分说服力。
  • 超声技术也能与脑机接口结合?双向非侵入式BCI新突破 最近,美国卡内基梅隆大学的研究团队在非侵入式脑机接口技术方面取得了重大突破,他们的研究成果成功集成了一种新型聚焦超声刺激,实现了双向非侵入式BCI···
  • 柏拉图洞穴寓言成真?自动驾驶汽车有了现实版“透视眼” 最近,在麻省理工学院和Meta的研究人员的共同努力下,一项名为PlatoNeRF的技术应运而生,有望彻底改变自动驾驶汽车的未来。这项技术将激光雷达和机器学习相结合,能够创建出物理上很精确的3D模型,即使是在视线受阻的情况下也能准确捕捉场景···
  • 神经形态计算器件和阵列测试解决方案 神经形态阵列是一种利用忆阻器器件形成的小规模的、实现类似于大脑神经元连接的集成电路。为了探索其应用和优势,有必要开发新的测量技术和模块,对忆阻器器件和阵列进行精确和全面的表征和评估···
  • 月球基地建设靠这种石头?发电、做衣服、盖房子干啥都行 玄武岩是一种常见的普通铺路石料,在地球和月球上的含量都很丰富,是地球洋壳和月球月海的最主要组成物质,也是地球陆壳和月球月陆的重要组成物质···
  • 理解触觉技术:触觉技术的历史和演变  如今,触觉技术在我们的数字设备中越来越普遍,从智能手机和游戏控制器到汽车、可穿戴设备、机器人和医疗设备都可以找到它的身影。在智能手机或游戏控制器中找不到触觉技术的现象已经很罕见——现在它被视为标准功能。触觉技术也推动了安全和可访问性技术的发展。
  • 电力电子科学笔记:PN型半导体 在本文中,我们将研究半导体中有两种杂质(五价和三价)均匀存在的现象,这与pn结不同,后者呈现出掺杂的不连续性。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了