Co kdyby hacker mohl získat úplnou kontrolu nad vaším smartphonem, ne přes malware, ale přímo nad hardwarem? @DonjonLedger objevil potenciálně neopravitelnou chybu ovlivňující MediaTek Dimensity 7300 – populární SoC pro Android telefony – která umožňuje libovolné spuštění kódu během několika minut. Tady je návod 🚨

Všichni ukládáme cenná data na svých chytrých telefonech, ale bezpečnostní opatření se často zaměřují na vzdálené útoky, např. malware Bez PINu, vzoru nebo přístupového kódu by mohl útočník dělat s vaším telefonem v ruce? Docela hodně, jak se ukázalo

Zaměřili jsme se na spodní část softwarové vrstvy smartphonů: Boot ROM. Tyto jsou pevně zakódovány do System-on-Chips (SoC) a mají omezenou plochu pro útok kódu, ale vysoké úrovně oprávnění (EL3). 🤔Naše teze – mohli bychom obejít bezpečnost SoC a kompromitovat celé zařízení?

Útok zabral!! EMFI metodou pokus-omyl oklamal čip, aby vyhodil celý Boot ROM – naši mapu k exploitu. 🗺️ Následně jsme přesným zaklepáním příkazu WRITE dokázali přepsat návratovou adresu na zásobníku (ROP primitiv).

Výsledek? Dosáhli jsme úplné kontroly – libovolné vykonávání kódu na EL3, nejvyšší úrovni oprávnění na procesoru. Úspěšnost útoku je 0,1–1 %, což znamená, že úplný kompromis je otázkou několika minut pokusu...

Mediatek na naše zveřejnění 🤝 reagoval velmi konstruktivně Informovali všechny dotčené OEM dodavatele. Poučení – vezměte si to přímo od Mediateku. Váš telefon není výslovně navržen k ochraně tajemství. Pokud používáte smartphone bez podepisovače, vaše aktiva mohou být zranitelná V pravý čas budeme zkoumat plný dopad našich zjištění. Zůstaňte naladěni 👀

Tl; dr - Neukládejte tajemství do telefonu. Toto vyšetřování mi připomíná útoky na hardware na PS3 nebo Nintendo Wii z dávných dob. Počáteční HW útoky umožnily reverzní inženýrství, což vedlo k šíleným exploitům – uvidíme, co tento první exploit odemkne.

Ponořte se do úplného technického rozboru, časové osy a open-source nástrojů použitých při našem vyšetřování Donjonu. Celý blogový příspěvek zde: