Дриве-би Ровхаммер напад користи ГПУ да угрози Андроид телефон

Током протеклих неколико година, у Ровхаммеру је постојала стална еволуција, некада у великој мери теоретски напад који искориштава физичке дефекте у меморијским чиповима да се петљају са безбедношћу уређаја на којима раде. У четвртак, истраживачи откривају најпрактичнију демонстрацију Ровхамер-ове моћи и досега: експлоатацију која даљински извршава злонамерни код на Андроид телефонима користећи своје графичке процесоре.

Назван ГЛитцх, екплоит је први који показује да графички процесори могу да преокрену појединачне битове похрањене у динамичку меморију случајног приступа. Напредовање даје нападачима већу флексибилност у односу на претходне технике које су се ослањале искључиво на процесоре. То је уједно и први Ровхаммер напад који користи стандардни ЈаваСцрипт да компромитује паметни телефон, што значи да се може извршити када корисници не раде ништа више него да посете злонамерни сајт. Још једна кључна иновација: у просеку, ГЛитцх траје мање од два минута да компромитује уређај, што је значајно побољшање у односу на претходне Ровхамерове подвиге.

ГЛитцх добија своје име и идиосинкратску капитализацију јер користи ВебГЛ програмски интерфејс за рендеровање графике да покрене познати проблем у ДДР3 и ДДР4 меморијским чиповима. Термин Ровхаммер је скован зато што класа експлоатације приступа - или "чекићи" специфичне блокове меморије познате као редови унутар чипа хиљаде пута у секунди. Нападачи га користе за измену кључних података променом нула на оне и обрнуто. Физичка слабост је резултат све мањих димензија силицијума. Са мањим простором између сваке ДРАМ ћелије, постаје све теже спречити једну ћелију да електрично комуницира са својим суседима.

Као и сви Ровхаммер напади који су му претходили, ГЛитцх доказ-оф-цонцепт екплоит није довољно зрео да представља непосредну пријетњу за већину крајњих корисника. Због значајне количине потребног обрнутог инжењеринга и појаве Ровхаммер-ових ублажавања у неким новијим телефонима, ПоЦ тренутно ради само на телефону Некус 5, који је Гоогле укинуо 2015. године. робустнији начин да се компромитује озбиљна рањивост у оба рачунара и телефона који се могу ублажити, али никада заправо нису закрпљени.

"Ово је први посао за који знам да може искористити и ГПУ и удаљено извршавање ЈаваСцрипта да преузме удаљену машину искориштавањем Ровхаммер механизма неуспјеха", рекао је Онур Мутлу, истраживач који је заштитио папир из 2014. који је увео Ровхамера као рањивост.

Је наставио:

Као резултат тога, мислим да су његове импликације веома значајне - ГПУ-ови се користе у свим интересантним мобилним системима, а ако је ДРАМ рањив на Ровхаммера, може се искористити тај ГПУ да преузме систем. Чињеница да је напад енд-то-енд и не захтева од корисника да инсталира нову апликацију која ће се извршити чини је још значајнијом јер је баријера за напад ниска. Дакле, мислим да овај рад представља значајну и веома паметну демонстрацију како Ровхаммер рањивост може довести до новог напада.

Збогом ЦПУ-има

Пробој ГЛитцх истраживања је његово откриће новог начина да се искористи Ровхаммер рањивост. Да би забунио редове, експлоати морају више пута приступити специфичним деловима података који се чувају у ДРАМ-у у брзом слиједу. Ово куцање може бити отежано касетама података које се налазе између ЦПУ-а и главних меморијских чипова, јер кеш меморише недавно приступане податке.

Експлоат из 2015. који је користио ЈаваСцрипт да би искористио Ровхаммер на компјутерима превазишао је ову препреку користећи технику звану исељавање из кеша да би се уклонили подаци из кеша. Процес је осигурао да се циљаним подацима приступи у ДРАМ-у, а не у кешу. У 2016. години, другачији тим истраживача осмислио је начин да искористи Андроид телефоне користећи локално похрањену апликацију, звану Драммер, која је користила Ровхаммер. Међутим, тим није био у стању да примени Ровхаммер који се заснива на деложацији на мобилном оперативном систему. Исељење, закључили су истраживачи, изгледа да је било превише споро да покрене бит флипса на Андроид телефонима.

ГПУ-ови који су интегрисани у већину паметних телефона обично користе мање кеш меморије. Штавише, открили су истраживачи ГЛитцх-а, мобилни ГПУ кешови имају детерминистичка понашања која се снажно разликују од случајних политика имплементираних у мобилним процесорима. Ове карактеристике ГПУ-а чине делотворно и брзо довољно избацивање из кеша да покрене бит флипс-а у читавим класама уређаја који се једном сматрају ван граница.

У истраживачком раду под насловом Гранд Пвнинг Унит: Убрзавање микроархитектонских напада са ГПУ, истраживачи су написали:

За разлику од ЦПУ кеша који су велики и оптимизирају за опће намјене, имплементирајући насумичне или недетерминистичке замјенске политике, показујемо да су ГПУ кешови мали и слиједе детерминистичку политику замјене. Ово омогућава нападачу да с великом прецизношћу размишља о погодностима кеша или промашује, отварајући пут за брзе и поуздане нападе на бочним каналима са мало шума.

Ровхаммер напади се ослањају на бочне канале како би мапирали велике дијелове меморије похрањене у рањивим чиповима. Да би кируршки чекирао редове у којима су смештени циљани битови, Ровхаммер напади пажљиво мере време које одређени ДРАМ приступи узимају. Канали временске тачке дозвољавају нападима да закључе информације о локацији битова у модулу. Брзина и јасноћа ГПУ-базираних бочних канала су кључ за успех ГЛитцх-а.

Пвнинг Фирефок

Истраживачи су чули супериорне Ровхаммер-ове ГПУ-ове користећи нову технику за обрнути инжењеринг Снапдрагон 800/801 система на чипу, који интегрира ЦПУ и ГПУ на исти дио силикона. Истраживачи су затим користили увид да развију експлоатацију за Некус 5, који користи Снапдрагон СоЦ. Истраживачи кажу да њихов експлоатација ради на другим мобилним уређајима који користе исти Снапдрагон СоЦ. Они такође верују да се други СоЦ модели могу искористити подвргавајући их истом интензивном реверзном инжењерингу.

Када се истраживачки ПоЦ ЈаваСцрипт даљински учита у Фирефок који ради на Некусу 5, он извршава код нападача избор. Тренутно, код ради са истим системским ограничењима као Фирефок, што значи да се може користити за крађу лозинки, прегледавања историје или других података који припадају претраживачу, али не и за коријен телефона или приступ подацима који припадају већини других апликација. Везањем ГЛитцх-а за Драммера или новоразвијеног експлоатације повластица, међутим, та ограничења би се вероватно могла превазићи, што би омогућило даљинско укорењивање.

Пиетро Фриго, један од четворице истраживача у Врије универзитету Амстердам Систем и Нетворк Сецурити Гроуп који је аутор овог чланка, рекао је за Арс да је већина ГЛитцх истраживања проведена помоћу Цхроме прегледника, који је много популарнији на Андроиду од Фирефока.

"Ако се питате да ли можемо да активирамо блиц на Цхромеу, одговор је да, можемо", написао је Фриго у е-поруци. На крају, он и његови колеге истраживачи пребацили су се на Фирефок када су развијали експлоатацију.

"Разлог због којег смо напали Фирефок је да смо већ имали неко претходно знање о његовим унутрашњостима и да је било више документације око ње, тако да нам је било лакше да направимо пун експлоатацију тамо", објаснио је Фриго. "На различитим претраживачима, ви бисте имали различите технике да бисте направили експлоатацију која би је учинила бржом / споријом више / мање практичном. Али, теоретски, могли бисте искористити било који циљ."

И Цхроме и Фирефок су у процесу ажурирања како би искључили неке функције које омогућавају да се ГПУ-базирани Ровхаммер експлоатира. И Цхроме верзија 65 и Фирефок верзија 59, које су објављене у марту, онемогућиле су ВебГЛ проширење које се зове ЕКСТ_ДИСЈОИН_ТИМЕР_КУЕРИ, што је нападачима дало кључни алат за изградњу бочног канала заснованог на ГПУ-у. Обе исправке су такође делимично редизајнирале неке ВебГЛ функције како би нападачима отежавали израду прилагођених тајмера који се користе у нападима на страни канала.

Међутим, упркос ублажавању у Фирефок 59, Фриго је рекао да ажурирање није успело да заустави експлоатацију доказа о концепту рада у верзији 59.0.2. Рекао је да промјене чине ГЛитцх мање поузданим јер екплоит сада мора погодити да ли је циљана меморија сусједна или не.

У изјави, званичници Гооглеа су написали:

Месецима смо радили са тимом из Врије Университеит, и иако ова рањивост није практична брига за огромну већину корисника, ценимо сваки напор да их заштитимо и унапредимо област истраживања безбедности, уопште. Ми нисмо свесни експлоатације, али доказни концепт истраживача показује да ВВеб претраживачи могу бити вектор за овај Ровхаммер-напад. Овај даљински вектор смо ублажили у Цхроме-у 13. марта и радимо са другим претраживачима да би могли да имплементирају сличне заштите.

Званичници Мозилла издали су следећу изјаву:

Холандски Национални центар за кибернетичку безбедност нас је упозорио на ово питање. Као и Цхроме м65, Фирефок је такође онемогућио ЕКСТ_ДИСЈОИНТ_ТИМЕР_КУЕРИ у нашем издању Фирефока 59. Ми смо радили са Цхроме тимом да променимо ВебГЛ спецификацију да би нападачима било теже да конструишу прилагођене тајмере. Ове измене ће бити објављене заједно са Фирефок 60 9. маја. Наставићемо да надгледамо да ли постоје ажурирања произвођача хардвера да би се решила основна проблематика и извршиле одговарајуће измене.

Гоогле-ови истраживачи, говорећи под условом да не буду именовани или цитирани, такође кажу да се многи Андроид телефони испоручују са ДДР чиповима који садрже ублажавања дизајнирана да спријече превртање битова. Једно ублажавање познато као циљно редовно освежавање пуни редове меморије који показују знакове злоупотребе. Други, познат као код за исправљање грешака, дизајниран је да надгледа чипове за знакове помицања битова и, када их открије, брзо их исправи. Није јасно које Андроид моделе имају једну или обје ове заштите, али је познато да Некус 5 који експлоатише ГЛитцх не имплементира ни једну.

Фриго је рекао да његови суиграчи још нису проучавали ублажавања, али очекује да ће Ровхаммер напасти много теже. Ипак, рекао је да његов тим има доказ о флипсу битова произведеним на Гоогле Пикел телефону, који може укључивати неке од ублажавања (флипси нису били резултат ГЛитцх-а). Истраживач је такође рекао да ублажавање вероватно неће бити укључено у јефтиније телефоне.

Тхе упсхот

За сада, ГЛитцх, као и код већине других Ровхаммер експлозија, представља малу непосредну пријетњу већини корисника телефона и рачунара. У поређењу са свакодневним нападима који користе злонамерни спам или компромитоване веб странице за ширење злонамјерног софтвера, Ровхаммер-ови екплоити су изузетно скупи за развој и непоуздани за кориштење. Са изузетком најтраженијих ознака циљаних у егзотичним националним спонзорисаним хаковима, мале су шансе да се ГЛитцх искористи у дивљини.

Истовремено, истраживање ГЛитцх-а је од изузетне важности јер показује вектор који никада прије није виђен за искориштавање слабости хардвера који се никада не може закрпати. Не само да је ГПУ метод скоро потпуно занемарен, него је и ефикаснији од познатих метода које користе ЦПУ.

Најважније од свега, ГЛитцх освјетљава раније непознату осјетљивост паметних телефона и потенцијално друге врсте уређаја које користе милијарде људи широм свијета. Из тих разлога, папир у четвртак и пратећа веб страница треба да буду потребни за читање свакога ко развија хардвер или софтвер, посебно оне који га одбацују као превише езотерично питање које оправдава озбиљну забринутост.

"Ровхаммер је на много начина игнорисан од стране произвођача који се крије иза [тврдње] да је то тешко и обично захтева локално извршавање или дедуплицирање које је до сада уклоњено из Виндовса", рекао је Андерс Фогх, главни истраживач безбедности са ГДАТА Адванцед Аналитицс који је говорио о Ровхаммеру на конференцији о безбедности Блацк Хат 2015. "Ово [истраживање] требало би да укаже на потребну пажњу на чињеницу да је оно што се често доживљава само као питање поузданости често озбиљно питање сигурности."