Que se passerait-il si un hacker pouvait prendre le contrôle total de votre smartphone, non pas via un logiciel malveillant, mais par le matériel lui-même ? Le @DonjonLedger a découvert une faille potentiellement non corrigible affectant le MediaTek Dimensity 7300 - un SoC populaire pour les téléphones Android - permettant l'exécution de code arbitraire en quelques minutes. Voici comment 🚨

Nous stockons tous des données précieuses sur nos smartphones, mais les mesures de sécurité se concentrent souvent sur les attaques à distance, par exemple les logiciels malveillants. Sans le code PIN, le schéma ou le mot de passe, que pourrait faire un attaquant avec votre téléphone en main ? Beaucoup de choses, en fait.

Nous avons ciblé le bas de la pile logicielle des smartphones : les Boot ROMs. Celles-ci sont codées en dur dans les System-on-Chips (SoCs) et ont une surface d'attaque de code limitée mais des niveaux de privilège élevés (EL3). 🤔Notre thèse - pourrions-nous contourner la sécurité des SoC et compromettre l'ensemble de l'appareil ?

L'attaque a fonctionné !!! Le truc d'essai-erreur d'EMFI a trompé la puce pour qu'elle vide l'intégralité du Boot ROM - notre carte vers l'exploitation. 🗺️ Ensuite, en provoquant précisément une erreur sur la commande WRITE, nous avons pu écraser l'adresse de retour sur la pile (un primitive ROP).

Le résultat ? Nous avons atteint un contrôle total - exécution de code arbitraire au niveau EL3, le niveau de privilège le plus élevé sur le processeur. Le taux de réussite de l'attaque est de 0,1 % à 1 %, ce qui signifie qu'un compromis total ne prend que quelques minutes d'essai...

Mediatek a répondu de manière très constructive à notre divulgation 🤝 Ils ont informé tous les fabricants OEM concernés. La leçon - prenez-la de Mediatek eux-mêmes. Votre téléphone n'est pas explicitement conçu pour protéger des secrets. Si vous utilisez un smartphone sans signataire, vos actifs pourraient être vulnérables. En temps voulu, nous examinerons l'impact complet de nos découvertes. Restez à l'écoute 👀

tl;dr - Ne stockez pas de secrets sur votre téléphone. Cette enquête me rappelle les attaques matérielles sur PS3 ou Nintendo Wii à l'époque. Les premières attaques matérielles ont permis l'ingénierie inverse, ce qui a conduit à des exploits incroyables - voyons ce que ce premier exploit débloque.

Plongez dans l'analyse technique complète, la chronologie et les outils open-source utilisés dans notre enquête Donjon. Article de blog complet ici :