Le taïwanais MediaTek est le leader mondial de microprocesseurs pour smartphones depuis le troisième trimestre 2020. Les systèmes sur puce (SoC) de MediaTek sont intégrés dans environ 37% de tous les smartphones et appareils IoT dans le monde, y compris les téléphones haut de gamme de Xiaomi, Oppo, Realme, Vivo et plus encore.
Les SoC modernes de MediaTek, y compris la dernière série Dimensity, contiennent une unité de traitement de l’intelligence artificielle (APU) et un processeur de signal numérique (DSP) audio pour améliorer les performances des médias et réduire l’utilisation du CPU. L’APU et le DSP audio ont tous deux une architecture de microprocesseur Tensilica Xtensa personnalisée. La plateforme de processeurs Tensilica permet aux fabricants de puces d’étendre le jeu d’instructions de base de Xtensa avec des instructions personnalisées afin d’optimiser des algorithmes particuliers et d’éviter qu’ils ne soient copiés. Cette réalité fait du DSP de MediaTek une cible unique et difficile pour la recherche en sécurité.
Dans cette étude, nous avons procédé à l’ingénierie inverse du micrologiciel DSP audio de MediaTek et découvert plusieurs vulnérabilités accessibles depuis l’espace utilisateur Android. Le but de notre recherche était de trouver un moyen d’attaquer le DSP audio d’un téléphone Android.
Un message interprocesseur défectueux peut être utilisé par un attaquant pour exécuter et cacher du code malveillant dans le microprogramme du DSP. Comme le microprogramme du DSP a accès au flux de données audio, une attaque sur le DSP pourrait potentiellement être utilisée pour écouter l’utilisateur.
En se combinant avec les vulnérabilités des bibliothèques des partenaires des fabricants d’équipements originaux (OEM), les problèmes de sécurité de MediaTek que nous avons découverts pourraient conduire à une élévation locale des privilèges provenant d’une application Android.
Les vulnérabilités découvertes dans le firmware DSP (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) ont déjà été corrigées et publiées dans le bulletin de sécurité de MediaTek d’octobre 2021. Le problème de sécurité dans le HAL audio de MediaTek (CVE-2021-0673) a été corrigé en octobre et sera publié dans le bulletin de sécurité de MediaTek de décembre 2021.