Eelmistes postitustes andsime teada, et kiibid Broadcom oli rünnakute suhtes haavatavs ja nüüd seekord ettevõtte teadlased NCC Group avalikustas haavatavuse üksikasjad (CVE-2018-11976 ) Qualcommi kiipidel, et võimaldab teil määrata privaatsete krüptovõtmete sisu asub eraldatud Qualcomm QSEE (Qualcomm Secure Execution Environment) enklaavis, mis põhineb ARZ TrustZone tehnoloogial.
Probleem avaldub enamikus Snapdragon SoC-des, Android-põhistes nutitelefonides. Probleemi lahendused on juba lisatud aprillikuu Androidi värskendusse ja Qualcommi kiipide uutesse püsivara versioonidesse.
Qualcommil kulus lahenduse ettevalmistamiseks üle aasta: Esialgu saadeti teave haavatavuse kohta Qualcommile 19. märtsil 2018.
ARM TrustZone tehnoloogia võimaldab teil luua kaitstud riistvaraga isoleeritud keskkondi, mis on põhisüsteemist täiesti eraldi ja töötavad eraldi virtuaalse protsessoriga, kasutades selleks spetsiaalset spetsiaalset operatsioonisüsteemi.
TrustZone'i peamine eesmärk on krüptovõtmete käitlejate, biomeetrilise autentimise, arveldusandmete ja muu konfidentsiaalse teabe eraldatud käivitamine.
Koostöö peamise operatsioonisüsteemiga toimub kaudselt dispetšerliidese kaudu.
Privaatsed krüpteerimisvõtmed paigutatakse riistvaraga eraldatud võtmepoodi, mis korraliku rakendamise korral väldib nende lekkimist, kui põhisüsteem on rikutud.
Probleemi kohta
Haavatavus on seotud rakenduse ebaõnnestumisega algoritmi elliptiliste kõverate töötlemiseks, mis viis andmetöötluse kohta teabe lekkimiseni.
Teadlased on arenenud kolmanda osapoole rünnakutehnika, mis võimaldab, mis põhineb kaudsel lekkimisel, rprivaatsete võtmete sisu hankimisekss asuvad riistvaraga isoleeritud Android Keystore'is.
Lekked määratakse ennustusplokkide üleminekute aktiivsuse analüüsi ja mälus olevate andmete juurdepääsuaja muutuste põhjal.
Katse ajal Teadlased tõestasid edukalt 224- ja 256-bitiste ECDSA võtmete taastamist eraldatud võtmehoidlast Nexus 5X nutitelefonis kasutataval riistvaral.
Võtme taastamiseks kulus umbes 12 14 digitaalallkirja genereerimiseks, mille täitmine võttis aega üle XNUMX tunni. Rünnaku korraldamiseks kasutati Cachegrabi tööriistakomplekti.
Probleemi peamine põhjus on TrustZone'is ja hostisüsteemis arvutamiseks levinud vahemälu ja riistvarakomponentide jagamine: eraldamine toimub loogilise eraldamise tasemel, kuid kasutades tavalisi arvutusplokke ning seades arvutusjälgi ja teavet hüppe kohta protsessori ühises vahemälus olevad aadressid.
Kasutades meetodit Prime + Probe, tuginedes vahemällu salvestatud teabele juurdepääsu aja muutuse hinnangule, saate kontrollida vahemälus teatud mustrite kättesaadavust andmevoogude ja digitaalallkirjaga seotud koodi täitmismärkide piisavalt suure täpsusega arvutused TrustZone'is.
Suurem osa Qualcommi kiibil olevate ECDSA võtmetega digitaalallkirja genereerimise ajast kulub korrutamistoimingute sooritamiseks silmus, kasutades iga allkirja jaoks muutmata initsialiseerimisvektorit (nonce).
Si ründaja saab selle vektori kohta käiva teabega taastada vähemalt paar bitti, on võimalik alustada rünnakut kogu privaatvõtme järjestikuse taastamise vastu.
Qualcommi puhul paljastati korrutamisalgoritmis kaks selle teabe lekkepunkti: tabeliotsingute tegemisel ja tingimuslike andmete väljavõtmiskoodis "nonce" -vektori viimase biti väärtuse põhjal.
Kuigi Qualcommi kood sisaldab abinõusid teabe lekitamise vastu kolmandate osapoolte kanalites, võimaldab välja töötatud rünnakumeetod neist meetmetest mööda minna ja määratleda mõned "nonce" väärtuse bitid, mis on piisavad 256 ECDSA võtmebiti taastamiseks.
28. aprill ja ma ootan endiselt plaastreid, mida GNU / Linuxis ei juhtu