
Віровена вразливість MediaTek Audio DSP: як Nothing Phone міг бути взломаний (але не був)
https://ift.tt/ZaFf27h
MediaTek Audio DSP уразливість: як Nothing Phone міг бути взламований (крім того, що не стався)
Промова: Розробник з Check Point Software виявив спосіб перетворити аудіокрист MediaTek на безшумний пристрій для прослуховування. Уразливість MediaTek аудіо DSP стосувалася приблизно 37% світових смартфонів. Будь-який зловмисний Android-застосунок міг її використати, щоб слухати ваші розмови без вашого відома. Це стосувалося телефонів від Xiaomi, Oppo, Realme, Vivo, і так, пристроїв із чипами MediaTek Dimensity, як Nothing Phone (2a).
Але ніхто не постраждав. Жодного користувача. Ось історія того, як одна з найстрашніших помилок мобільної безпеки за останній час була знайдена, повідомлена та виправлена до того, як стала реальною загрозою.
Що таке вразливість MediaTek Audio DSP?
У листопаді 2021 року Слава Маккавєєв, дослідник з безпеки у Check Point Software, опублікував детальний технічний огляд, який пролив світло на Android-безпеку. Його команда зворотньо інженерила прошивку, що працює на аудіо Digital Signal Processor (DSP) MediaTek — спеціалізований чип усередині систем-на-чип MediaTek, який обробляє аудіо незалежно від основного процесора.
DSP працює на власній архітектурі Tensilica Xtensa. MediaTek розширює її власними наборами інструкцій, що має ускладнити аналіз прошивки. Це не зупинило Check Point.
Виявилося дуже погано. Комбінація кількох вразливостей (CVEs: CVE-2021-0661, CVE-2021-0662, CVE-2021-0663, CVE-2021-0673) дозволила зловмисному Android-застосунку підвищити привілеї з користувацького простору до аудіопроцесора. Опісля зловмисник міг перехоплювати аудіопотоки. Телефонні дзвінки. Розмови поблизу пристрою.
Шлях атаки був такий: здавалось б невинний застосунок, встановлений з будь-якого джерела, міг спілкуватися з драйвером аудіо, використати вразливості для отримання підвищених дозволів і виконати код безпосередньо на DSP. Користувач би ніколи не бачив сповіщення. Ніяких дозволів. Нічого.
Працюючи над системами, де привілеї — це справжній кошмар, я можу сказати: це майже найгірше з того, що може бути у мобільній безпеці. DSP розташований нижче моделі безпеки ОС. Якщо ти там, обхід Android-пісочниці не допоможе.
Як Check Point виявив недолік MediaTek DSP
Команда дослідження використала rooted Xiaomi Redmi Note 9 5G як тестовий пристрій. У нього чип MT6853 Dimensity 800U. Вибрали його через широке розповсюдження та репрезентативність сучасного SoC MediaTek.
Першою складністю було зрозуміти, як Android спілкується з аудіо DSP. Має бути драйвер, що з’єднує застосунковий процесор (де працює Android) та DSP (де обробляють аудіо). Check Point визначив відповідні медіадрайвери на пристрої та почав карту IPC-каналів.
Труднішим було саме прошивання. MediaTek використовує нестандартні Tensilica Xtensa опкоди, тобто набір інструкцій не стандартний. Просто так викинути прошивку в дизassembler і читати — не вийде. Команда Check Point мала зрозуміти власні інструкції MediaTek і регістри процесора, щоб зрозуміти код.
Я вже випустив достатньо фіч, щоб знати: знайти помилки у власному коді — це важко. Знайти експлуатовані вразливості у пропрієтарній прошивці, що працює на кастомній архітектурі процесора з не документованими інструкціями — це зовсім інша ліга.
Це не вперше Check Point з мобільними DSP. Раніше вони провели дослідження про DSP Qualcomm Snapdragon у проекті Achilles, де знайшли сотні вразливих фрагментів коду. Дослідження MediaTek стало природним продовженням: якщо у DSP Qualcomm були проблеми, чи були вони у MediaTek?
Так. Була.
Чому Nothing Phone (2a) зараз не під загрозою
Історія стає цікавою: Nothing Phone (2a), випущений у березні 2024 року, має чип MediaTek Dimensity 7200 Pro. Це чип MediaTek. Тож чи варто Nothing Phone хвилюватися?
Ні.
Check Point дотримався відповідального процесу розкриття. Вони повідомили про вразливості MediaTek до виробника перед публікацією. MediaTek підтвердив проблеми, розробив виправлення та випустив патчі у своєму щомісячному бюлетені безпеки за жовтень 2021 року. Це було більше двох років до появи Nothing Phone (2a).
Кожен пристрій під управлінням MediaTek і з Android-оновленнями з кінця 2021 року має виправлення. Nothing Phone (2a), що з’явився у 2024 році, ніколи не був вразливий до цієї конкретної серії атак. Прошивка Dimensity 7200 Pro була зібрана після застосування патчів.
Це одна з тих речей, коли нудна відповідь є правильною. Система працює: дослідник виявляє помилку, повідомляє приватно, виробник патчує, користувачі отримують виправлення через оновлення. Ніякої драми, ніяких нуль-днів, ніяких скандалів з масовим стеженням.
Але уявіть іншу сторону на секунду. Якби Маккавєєв був зловмисником замість дослідника безпеки, ці вразливості могли б бути використані як зброя та продані. З 37% смартфонів та IoT-пристроїв, що працюють на SoC MediaTek, за оцінками Check Point, радіус ураження був би величезним.
Процес відповідального розкриття, що врятував мільйони телефонів
Відповідальне розкриття не отримує достатньої оцінки. Це домовленість між дослідниками та постачальниками щодо того, як працює приблизно так: я знайшов спосіб зламати ваш продукт. Я скажу вам приватно, дам час на виправлення та викладу деталі лише після того, як користувачі будуть захищені.
На практиці це складно.
MediaTek мав розробити патчі для кількох CVE для архітектури чипа, що вбудована у сотні різних моделей телефонів від десятків виробників. Потім ці патчі мали пройти через ланцюг оновлень безпеки Android до OEM, які повинні інтегрувати їх у свої прошивки та розповсюдити користувачам. У ланцюжку багато ланок, і будь-яка з них може зламатися.
У цьому випадку все стало на свої місця. MediaTek підтвердив вразливості, класифікував їх та підготував виправлення до жовтневого бюлетеня безпеки 2021 року. Як повідомляв тоді Dan Goodin, редактор з безпеки в Ars Technica, MediaTek виправив помилки після повідомлення Check Point, і патчі були розповсюджені через стандартний процес оновлення Android.
Я бачив, як іноді розкриття призводить до протилежного. Коли відповідальне розкриття ламається, коли дослідники публікують матеріали до того, як виправлення з’являться, або коли виробники байдуже ставляться до звітів — результат — експлуатація в реальному світі. П’ять нуль-днів Chrome за два тижні — от що відбувається, коли вразливості збройовують швидше, ніж їх патчать. Історія MediaTek — це версія, де все пройшло правильно.
Але є справжня проблема, що ховається за цією успішною історією. Патч допомагає лише тоді, якщо ваш телефон фактично його отримує. Бюджетні Android-телефони, той саме сегмент ринку, де DomMediaTek домінує, відомі повільними або взагалі відсутніми оновленнями безпеки. Телефон, який перестав отримувати оновлення у 2020 році, залишився б вразливим після випуску вирішення MediaTek. Мільйони пристроїв.
Чи менше безпечно, ніж Qualcomm?
Це питання, яке кожен ставить після такої історії, але чесно кажучи, це неправильне питання.
І MediaTek, і Qualcomm мали серйозні вразливості DSP, виявлені дослідниками з безпеки. Check Point знайшов проблеми і в обох. Вразливості в чипах Qualcomm Snapdragon були Achilles. Вразливості в аудіо DSP були у MediaTek. Наявність вразливостей не означає, що один постачальник «менш безпечний» за інший. Це означає, що DSP прошивка, що працює на кастомних архітектурах з мінімальним контролем безпеки, є поверхнею атак, якою промисловість знехтувала.
Що насправді відрізняє постачальників чипів у безпеці — це як вони реагують, коли вразливості знаходять. Відповідь MediaTek була надійною: вони швидко підтвердили проблеми, розробили патчі та координували розкриття з Check Point. Ось що ви хочете бачити.
Більша проблема — це оновлювальний конвеєр Android. Якщо ви купуєте телефон за 200 доларів, який отримує два роки оновлень, ви за визначенням більш вразливі, ніж користувач Pixel з п’ятьма роками щомісячних патчів. Чип той самий. Різниця — чи дійде виправлення до вашого пристрою.
Після понад 14 років у цій галузі я прийшов до думки, що найслабше місце у мобільній безпеці — це не кремній, а розрив між тим, коли виправлення написане, і коли користувач фактично встановлює його на телефоні. Саме тут відбувається реальне використання.
Якщо вам цікаво, як вразливості безпеки ховаються у несподіваних місцях, я писав про подібний зразок з прихованими атаками з використанням невидимих Unicode у вихідному коді. Завжди одна й та сама історія: поверхня атаки, за якою ніхто не стежить, є тією, що використовується.
Що це означає далі
Історія вразливості MediaTek аудіо DSP закінчилась добре. Але вона розкрила структурну правду про безпеку смартфонів, яка не змінилася: чипи у наших телефонах запускають прошивку, яку більшість команд безпеки ніколи не аудіюють, на архітектурах процесорів, які більшість дослідників не може легко аналізувати, за закритими інструкційними наборами, розробленими для запобігання саме такому розгляду, який виявив ці помилки.
MediaTek зараз — найбільший виробник чипів для смартфонів у світі. Їхній силікон живить усе — від бюджетних телефонів у країнах зростання до Nothing Phone (2a) та флагманських пристроїв від великих OEM. Атаційна поверхня не зменшується.
Дослідження, як та Check Point, підштовхують індустрію серйозніше ставитися до безпеки DSP. Але ми все ще покладаємося на кількох видатних дослідників, щоб знаходити ці помилки до того, як це зроблять зловмисники. Це не стратегії безпеки. Це вдача з хорошим PR.
Якщо зараз у вас телефон з чипом MediaTek і ваші патчі безпеки актуальні, все добре. Ця конкретна вразливість була виправлена роками раніше. Але якщо ваш телефон перестав отримувати оновлення — це інша розмова.
Ось моя прогноза: наступна велика мобільна загроза безпеці не піде від процесора застосунків або операційної системи. Вона прийде від зростаючої кількості ко-процесорів (DSP, NPU, ISP), що запускають власну прошивку з власними поверхнями атак, які набагато менше контролюються, ніж сама Android. Check Point показав нам двері. Питання в тому, чи промисловість пройде через них до того, як це зроблять хтось зі злим наміром.
Оригінально опубліковано на kunalganglani.com
HI-FI News
через DEV Community
March 18, 2026, 14:56 за місцевим часом
Переклад українською лише тексту, який було перекладено.
March 18, 2026 at 02:56PM

Залишити відповідь