Množstvo modelov smartfónov minimálne s operačným systémom Android je možné efektívne rootnuť a tým hacknúť vďaka hardvérovej zraniteľnosti pamätí a útoku označovaných Rowhammer.
Oznámil to tím expertov z Vrije univerzity v Amsterdame, Technologickej univerzite v Grazi a Kalifornskej univerzity v Santa Barbare.
Verziu útoku experti označili Drammer, ako skratku z Deterministic RowhAMMER.
Rowhammer
Ako sme upozorňovali v tomto a tomto článku, v DDR pamätiach je možné vyvolať zmeny bitov opakovaným mnohonásobným rýchlym zvýšením a znížením úrovne napätia vodičov v susedných riadkoch. To je možné dosiahnuť opakovaným čítaním dát zo susedných riadkov, pričom kvôli bufferu aktuálneho sprístupňovaného riadku je potrebné čítať dáta na striedačku z dvoch susedných riadkov.
K nežiadúcim zmenám prichádza kvôli postupnej strate náboja pamäťových buniek a interferencii susedných vodičov.
Útok tak umožňuje meniť obsah pamäti, ku ktorému kód nemá oprávnenie na zápis. Problém bol v roku 2014 úspešne demonštrovaný na DDR3 pamätiach, pôvodne sa ale považoval za príliš nekontrolovateľný aby umožnil bezpečnostný útok. V minulom roku ale tím z Project Zero demonštroval praktický útok, keď takouto zmenou pamäte získal neprivilegovaný proces plný prístup v operačnom systéme Linux. Technika nie je pritom špecifická pre Linux a zrejme by sa dala aplikovať aj v iných operačných systémoch.
Jednoduchý natívny kód, ktorý dokáže vyvolať chyby v DDR3 pamätiach
Pri útoku Rowhammer musí kód vyvolať dostatočný počet prístupov k cieľovým riadkom v rámci jedného obnovovacieho cyklu DDR pamäte, ktorý sa pohybuje v desiatkach milisekúnd. Keďže opakované prístupy k rovnakým adresám CPU cachuje, útok Project Zero k vyprázdňovaniu cache pamätí využíva špecifickú x86 inštrukciu clflush. Tento útok je tak špecifický pre x86 architektúru a musí byť realizovaný natívnym kódom.
Drammer, Rowhammer na smartfónoch
Experti sa tentokrát zamerali na ARM platformy a mobilné zariadenia a prvom rade na dominujúci Android majúci navyše otvorené zdrojové kódy.
Pre Android na ARM-e vyvinuli exploit kód bežiaci bez akýchkoľvek špecifických oprávnení, ktorý detekuje útokom Rowhammer prepnuteľné bity v pamätiach a následne ich efektívne a deterministicky dokáže využiť na zvýšenie svojich oprávnení na roota.
Podobne ako iné útoky využívajúce Rowhammer to robí získaním práva na zápis k stránkam pamäte so stránkovacími tabuľkami pamäte, čo mu umožňuje následne získať práva na zápis do ľubovoľných adries v pamäti.
Získanie root oprávnení na Androide umožňuje bežným aplikáciám bez oprávnení stiahnutým a nainštalovaným potenciálne aj z oficiálnych obchodov získať kompletný prístup k zariadeniu a všetkým dátam. Navyše útok je samozrejme možné kombinovať aj s inými zraniteľnosťami umožňujúcimi vzdialené spustenie neprivilegovaného útočníkom zvoleného kódu napríklad po využití zraniteľnosti v prehliadačoch.
Výsledky účinnosti Drammer na jednotlivých smartfónoch, kliknite pre zväčšenie (tabuľka: autori exploitu Drammer)
Experti otestovali sedem modelov smartfónov s 32-bitovým ARMv7 procesorom a šesť so 64-bitovým ARMv8 procesorom. Väčšina mala LPDDR3 pamäte.
U ARMv7 modelov bolo možné rootnuť každý z testovaných modelov LG Nexus 4, Nexus 5, Motorola Moto G z 2013 a 2014, OnePlus One, Samsung Galaxy S4 a S5. Rootnuť sa nedali vždy všetky kusy, napríklad z Nexusov 5 testovali až 15 kusov a rootnuť sa dalo 12.
Demonštrácia exploitu Drammer (video: autori exploitu Drammer)
U ARMv8 modelov sa podarilo rootnuť iba jeden model LG G4, naopak odolali HTC Desire 510, Lenovo K3 Note, Nexus 5X, Samsung Galaxy S6 a Xiaomi Mi 4i. V tomto prípade bol z každého modelu testovaný iba jeden kus a podľa expertov nie je možné zatiaľ prijať záver, že ARMv8 platformy sú útokom výrazne odolnejšie.
Odolnosť môže zabezpečiť vďaka podpore ochrán pamäť LPDDR4, ktorú využíva z testovaných modelov Galaxy S6.
Ochrana
Pre existujúce mobilné zariadenia nie je možné takúto hardvérovú zraniteľnosť priamo odstrániť a na rozdiel od PC nie je možné vymeniť pamäte za prípadne odolnejšie a bežne ani nastavením skrátiť ich obnovovací cyklus.
Google ale v rámci novembrových aktualizácií prinesie zmeny, ktoré sťažia spoľahlivý útok. Konkrétne podľa expertov zneprístupní API umožňujúce alokovať kontinuálne bloky pamäte cez ION. Podľa expertov ale bude možné útok realizovať naďalej len výrazne komplikovanejšie.
Experti nahlásili úspešný exploit spoločnosti Google na konci júla, tá informácie na začiatku októbra posunula aj jednotlivým výrobcom Android zariadení. Kedy ostatní výrobcovia vydajú aktualizácie sťažujúce útok zatiaľ nie je známe.
Experti o zraniteľnosti informujú na tejto stránke. Pre užívateľov iných modelov smartfónov ponúkajú na stránke Android aplikáciu, ktorá umožní otestovať či je na danom zariadení možné realizovať spoľahlivý útok Drammer.
Aplikácia štandardne odosiela podľa expertov anonymizované údaje pre vyhodnotenie efektívnosti na ostatných modeloch, pričom odosielanie sa podľa nich dá vypnúť.
Re: nápred(prd)
Od reg.: dslk0
|
Pridané:
24.10.2016 16:55
je mi to uplne jedno, akty si do telefony nefotim ako nejaki magori a pouzivam ho zasadne na telefonovanie, takze mi je nejake hacknutie uplne u prdele
a co ostatne zariadenia
Od: lolekov brat
|
Pridané:
24.10.2016 11:15
LPDDR4 je tusim pouzita i v iPhone 6s...Drammer by sa dal potom teoreticky tiez pouzit na eskalaciu prav a nasledny jailbreak...skoda, ze novy ios je rootless....a teda ani root nema pristup ku vsetkym suborom....vie o tom niekto nieco viac?
Re: a co ostatne zariadenia
Od: TeleKomunista
|
Pridané:
24.10.2016 11:21
Rowhammer je použiteľný na všetkých zariadeniach. Existuje aj javascriptový exploit. Uškodiť to vie akémukoľvek zariadeniu využívajúcemu rýchle DDR pamäte.
Re: a co ostatne zariadenia
Od: TeleKomunista
|
Pridané:
24.10.2016 13:52
áno, exploit sa volá Rowhammer.js. Môžeš si ho aj skúsiť tu je github tvorcov: http://dopice.sk/irY
majú tam aj návod ako sa testnúť. Pred 9timi mesiacmi som ho aj skúšal a rozhodne fungoval na 1866MHz DDR3 pamätiach od kongstonu.
Re: a co ostatne zariadenia
Od: fffffffffffffffffffffffff
|
Pridané:
24.10.2016 14:04
hmmm.... to uz je fakt v prdeli, ked to takto bez kontroly preleze z JS do RAMky. Ako logicky, mam 2GB dat, tak to flaknem na hromadu. ale by som proste cakal nejake serepeticko kolo toho aspon v interpreteri JS, ze z toho narobi nejake manazovatelne mikrobloky alebo co. Ano jasne, performance atd... ale to sa to potom hackuje, ked to ide napriamo.... grrr.....
Re: a co ostatne zariadenia
Od: TeleKomunista
|
Pridané:
24.10.2016 14:34
Presne to isté som si hovoril keď som čítal ten research paper od nich. Na to githube je odkaz naň. Po tom čo som si to prečítal som si vo všetkých prehliadačoch vypol js. Najhoršie je, že rowhammer môže slúžiť aj na únik z virtuálok a sandbox-u sa dá krásne obísť.
Re: a co ostatne zariadenia
Od: nomi
|
Pridané:
24.10.2016 14:48
vypnut js je sice riesenie ale nie najlepsie, ja pouzivam vo firefoxe doplnok "noscript" ale niekedy je to na hlavu lebo nemozem plnohodnotne vyuzivat stranku a zobrazi sa mi rozsypana a musim dat manualne vynimku, su stranky ktore su napriek danej vynimke stale nepouzitelne
Re: a co ostatne zariadenia
Od: ventYl
|
Pridané:
24.10.2016 17:19
Nepredpokladam, ze ten utok z javascriptu siel na nieco konkretne, to by uz bolo velmi huste a boli by sme vsetci, co mame DDR3 v prdeli (boli by ste, ja mam este DDR2 :P ). Princip "utoku" je tak jednoduchy, ze okrem fyzickej organizacie pamate v podstate netreba nic specialne. Vhodne zorganizovana struktura (napr. vhodne dlhy string, ktory nikto nebude obfuskovat, aby ho nejako rozbil, ale zarovna ho na nejaku dobre pristupnu adresu (trebars delitelnu 64 alebo 128) a nejaka operacia, ktora je znama tym, ze sposobi flushnutie cache (predpokladam, ze nejaka asynchronna hovadina alebo prepinanie kontextov vovnutri JS to robi) a kod moze byt hoooooodne trivialny.
bezpečnosť
Od: účet má blokovanú bla bla bla
|
Pridané:
24.10.2016 13:09
Nonstop sa niekto bojí o svoju bezpečnosť, bezpečnosť svojho "súkromia" a svojich dát. Na druhej strane ju denno denne každý rozdáva pomocou svojej kreditky, pohybu na internete, pohybu po meste [CCTV], etc. Šaráda a paródia.
Ale napr. dnes uz vela ludi poziva mobilny IB a urcite existuje sposob, ako ho zneuzit.. Ved uz sa daju klonovat aj sms atd. Preto je potrebne hladat tieto chyby, nie aby bol system dokonali, ale aby sa to nikomu neoplatilo robit :)
Tí čo sa boja o svoju bezpečnosť možno nepoužívajú kreditky ale bitcoiny, príp. iné kryptomeny, k internetu možno pristupujú cez VPN, TOR a I2P (ideálne aspoň 2 z toho naraz) a tie kamery sa im možno tiež nepáčia, ale veľa s tým nenarobia. A tí skutočne paranoidní ľudia možno žijú v jaskyniach, bez internetu a ďaleko od civilizácie.
Prečo odsudzovať vôľu mať súkromie?
Už asi tisica zraniteľnosť a napadnutie Androidu, a sprostý ľudia z celého sveta ho neustále kupujú, je to smiešne ako tie dáta zverujete hackerom a Googlu . Ale win neustále odmietate :'(
neprihlásený 
