对小米红米Note 9 5G的联发科音频DSP固件进行逆向工程，发现四个漏洞

日前，外媒Check Point Research发表了《Looking for vulnerabilities in MediaTek audio DSP》，称对联发科音频 DSP 固件进行了逆向工程，并发现了几个可从 Android 用户空间访问的漏洞。

据EDN小编了解，通过与原始设备制造商 (OEM) 合作伙伴库中的漏洞相关联，Check Point Research发现的联发科安全问题可能会导致 Android 应用程序的本地权限升级。并成功利用 DSP 漏洞可能允许攻击者监听用户对话和/或隐藏恶意代码。

首先，研究人员需要了解运行在应用处理器 (AP) 上的 Android 如何与音频处理器进行通信。显然，必须有一个驱动程序等待来自 Android 用户空间的请求，然后使用某种处理器间通信 (IPC)，将这些请求转发给 DSP 进行处理。

我们使用基于MT6853（天玑800U）芯片组的小米红米Note 9 5G智能手机作为测试设备。操作系统为 MIUI Global 12.5.2.0 (Android 11 RP1A.200720.011)。

图 1：媒体驱动程序

知道如何向音频 DSP 发送 IPI 消息后，下一步是在 DSP 固件中找到此类消息的处理程序。

今天给大家推荐我们官方视频号

👇

ASPENCORE ，

Cadence中国区总经理汪晓煜分享了数量急剧增加的 #中国Fabless 初创公司的特点，以及 #Cadence 如何满足不同类型的“小芯片”和“大芯片”公司的需求。

视频号

音频 DSP 在小米工厂更新中通过单独的audio_dsp.img图像文件呈现。获取映像的另一种方法是/dev/block/platform/bootdevice/by-name/audio_dsp从有根设备转储分区。

图像文件具有专有结构，但可以轻松重建。在我们的测试设备上，DSP 映像包含九个分区。

图3：该audio_dsp.img结构

找到了研究音频DSP固件的方法后，研究人员发现MediaTek 音频 DSP 操作系统是 FreeRTOS 的改编版本。联发科使用了第三方内核，并在其上实现了音频和消息逻辑。

操作系统在启动时会创建许多音频任务，并将它们与场景 ID 相关联。该create_all_audio_task函数是一个工厂，我们可以在其中找到所有支持的任务和场景 ID。

在了解到Android 是如何通过/dev/audio_ipi驱动程序攻击音频 DSP得知后，他们发现一个没有特权的 Android 应用程序以及adb shell没有权限与这个驱动程序通信。SELinux的允许访问audio_ipi_device的对象factory，meta_tst以及mtk_hal_audio只有上下文。攻击者需要找到一种方法来利用联发科硬件抽象层 (HAL) 从mtk_hal_audio上下文访问 DSP 驱动程序。

在寻找攻击 Android HAL 的方法时，研究人员发现了 MediaTek 为调试目的实施的几个危险的音频设置。第三方 Android 应用程序可以滥用这些设置来攻击 MediaTek Aurisys HAL 库。

最后，研究人员表示CVE-2021-0661、CVE-2021-0662 和 CVE-2021-0663 在音频 DSP 本身中存在漏洞，可能进一步允许执行恶意操作，例如在音频 DSP 芯片本身中执行和隐藏恶意代码.

由于 DSP 固件可以访问音频数据流，因此本地攻击者可能会使用格式错误的 IPI 消息来进行权限提升，并在理论上窃听手机用户。

据了解，已发现的 DSP 固件漏洞（CVE-2021-0661、CVE-2021-0662、CVE-2021-0663）已在 2021 年 10 月的联发科技安全公告中修复并发布。MediaTek 音频 HAL (CVE-2021-0673) 中的安全问题已于 10 月修复，并将在 2021 年 12 月的 MediaTek 安全公告中发布。