¿Qué pasaría si un hacker pudiera obtener el control total de tu smartphone, no a través de malware, sino del hardware en sí? El @DonjonLedger descubrió una falla potencialmente inpatchable que afecta al MediaTek Dimensity 7300 - un SoC popular para teléfonos Android - que permite la ejecución de código arbitrario en minutos. Así es como 🚨

Todos almacenamos datos valiosos en nuestros teléfonos inteligentes, pero las medidas de seguridad a menudo se centran en ataques remotos, por ejemplo, malware. Sin el PIN, patrón o contraseña, ¿qué podría hacer un atacante con tu teléfono en sus manos? Bastante, al parecer.

Apuntamos a la parte inferior de la pila de software de los smartphones: los Boot ROMs. Estos están codificados en los System-on-Chips (SoCs) y tienen una superficie de ataque de código limitada pero altos niveles de privilegio (EL3). 🤔Nuestra tesis: ¿podríamos eludir la seguridad del SoC y comprometer todo el dispositivo?

¡El ataque funcionó!!! El truco de prueba y error de EMFI engañó al chip para que volcara todo el Boot ROM - nuestro mapa para la explotación. 🗺️ A continuación, al fallar con precisión el comando WRITE, pudimos sobrescribir la dirección de retorno en la pila (un primitivo ROP).

¿El resultado? Logramos un control total: ejecución de código arbitrario en EL3, el nivel de privilegio más alto en el procesador. La tasa de éxito del ataque es del 0.1%–1%, lo que significa que la compromisión total es cuestión de solo unos minutos de intentos...

Mediatek respondió de manera muy constructiva a nuestra divulgación 🤝 Informaron a todos los fabricantes de equipos originales (OEM) afectados. La lección - tómala de Mediatek. Tu teléfono no está diseñado explícitamente para proteger secretos. Si usas un smartphone sin un firmante, tus activos podrían estar en riesgo. A su debido tiempo, examinaremos el impacto total de nuestros hallazgos. Mantente atento 👀

Resumen: No almacenes secretos en tu teléfono. Esta investigación me recuerda a los ataques de hardware de PS3 o Nintendo Wii en su momento. Los ataques de hardware iniciales permitieron la ingeniería inversa, lo que llevó a algunos exploits locos; veamos qué desbloquea este primer exploit.

Sumérgete en el desglose técnico completo, la cronología y las herramientas de código abierto utilizadas en nuestra investigación de Donjon. Publicación completa del blog aquí: