Chiphiba miatt akár lehallgathatók az androidos telefonok
A világ okostelefonjainak és IoT-eszközeinek 37 százaléka érintett a tajvani MediaTek-chipek legutóbbi hibájában, melynek kihasználásával a telefonhívások elméletileg lehallgathatóvá válhatnak.
A tajvani MediaTek system-on-chips (SoCs) rendszere a fő processzor használatát csökkentő hardver. Ezek a SoCs-ek két összetevőt tartalmaznak: az egyik egy speciális AI-feldolgozó egység (APU), a másik egy audio Digital Signal Processor (DSP). Mindkét összetevő személyre szabott Tensilica Xtensa mikroprocesszor-architektúra szerint megépített, ezzel próbálták növelni az eszközök biztonságát.
A Checkpoint kutatói azt vizsgálták, hogy biztonságos-e a DSP-egység, és eközben androidos felületről is kihasználható sérülékenységeket találtak. A támadáshoz szükség van egy szándékosan rosszul formázott, processzorok közötti üzenetre, melynek segítségével a DSP firmware-ban (—> rögzített, többnyire kis méretű program és/vagy adatstruktúra, ami elektronikai eszközöket vezérel) a támadó futtathatja és elrejtheti káros kódját. Mivel a DSP firmware-nek hozzáférése van a hangadatokhoz, a támadás segítségével nagy valószínűség szerint le lehet hallgatni a készüléken folyó beszélgetéseket a telefonhasználó tudta nélkül.
A sérülékenységek kódja CVE-2021-0661, CVE-2021-0662 és CVE-2021-0663. A hiba a következő chipeket és rendszereket érinti: MT6779, MT6781, MT6785, MT6853, MT6853T, MT6873, MT6875, MT6877, MT6883, MT6885, MT6889, MT6891, MT689 és MT8797, Android 9.0, 10.0 és 11.0.
A MediaTek piacvezető az okostelefonok számára gyártott chipek területén. Az érintett SoCs-eket, azaz egylapkás rendszereket a világ okostelefonjainak és IoT-eszközeinek 37 százalékán használják. Az idei második negyedévében a gyártó szállította az androidos okostelefonokba épített SoCs-ok 43 százalékát. A MediaTek chipjeit használják androidos okostelefongyártók, közöttük a Xiaomi, Oppo, Realme, Sony, Vivo.
A MediaTek szakembereinek nincs róla tudomásuk, hogy a hibát aktívan kihasználták volna bármilyen támadásban. A problémákról értesítették az érintett hardvergyártókat, akik hamarosan frissítéseket adnak ki a hibák megszüntetésére; telepítésüket jó szívvel javasoljuk.