E se um hacker conseguisse obter controle total do seu smartphone, não via malware, mas pelo próprio hardware? O @DonjonLedger descobriu uma falha potencialmente inalterável que afeta o MediaTek Dimensity 7300 - um SoC popular para telefones Android - permitindo a execução de código arbitrário em minutos. Aqui está como 🚨

Todos nós armazenamos dados valiosos nos nossos smartphones, mas as medidas de segurança muitas vezes se concentram em ataques remotos, por exemplo, malware. Sem o PIN, padrão ou código de acesso, o que poderia um atacante fazer com o seu telefone na mão? Bastante, como se vê.

Alvo da nossa investigação foi a base do software de smartphones: os Boot ROMs. Estes estão codificados nos System-on-Chips (SoCs) e têm uma superfície de ataque de código limitada, mas níveis de privilégio elevados (EL3). 🤔A nossa tese - poderíamos contornar a segurança do SoC e comprometer todo o dispositivo?

O ataque funcionou!!! O truque de tentativa e erro do EMFI enganou o chip para despejar todo o Boot ROM - nosso mapa para a exploração. 🗺️ Em seguida, ao falhar precisamente o comando WRITE, conseguimos sobrescrever o endereço de retorno na pilha (um primitivo ROP).

O resultado? Conseguimos controle total - execução de código arbitrário no EL3, o nível de privilégio mais alto no processador. A taxa de sucesso do ataque é de 0,1%–1%, o que significa que a comprometimento total é uma questão de apenas alguns minutos de tentativa...

A Mediatek respondeu de forma muito construtiva à nossa divulgação 🤝 Eles informaram todos os OEMs afetados. A lição - tirem isso da própria Mediatek. O seu telefone não é explicitamente projetado para proteger segredos. Se você usar um smartphone sem um assinante, seus ativos podem estar vulneráveis. A seu tempo, estaremos examinando o impacto total das nossas descobertas. Fiquem atentos 👀

resumo - Não armazene segredos no seu telefone. Esta investigação lembra-me dos ataques de hardware do PS3 ou do Nintendo Wii na época. Os primeiros ataques de hardware permitiram a engenharia reversa, o que levou a alguns exploits loucos - vamos ver o que este primeiro exploit desbloqueia.

Mergulhe na análise técnica completa, cronograma e ferramentas de código aberto utilizadas na nossa investigação Donjon. Postagem completa do blog aqui: