V predchádzajúcich príspevkoch dali sme vedieť, že čipy Broadcom boli zraniteľní voči útokus a teraz tentoraz výskumníci zo spoločnosti NCC Group zverejnila podrobnosti zraniteľnosti (CVE-2018 11976, ) na čipoch Qualcomm, že vám umožňuje určiť obsah súkromných šifrovacích kľúčov umiestnené v izolovanej enkláve Qualcomm QSEE (Qualcomm Secure Execution Environment) založenej na technológii ARZ TrustZone.
Problém sa prejavuje vo väčšine Snapdragon SoC, na smartfónoch so systémom Android. Opravy problému sú už zahrnuté v aprílovej aktualizácii systému Android a nových verziách firmvéru pre čipy Qualcomm.
Príprave riešenia spoločnosti Qualcomm trvalo viac ako rok: Informácie o zraniteľnosti boli pôvodne spoločnosti Qualcomm zaslané 19. marca 2018.
Technológia ARM TrustZone vám umožňuje vytvárať chránené hardvérové izolované prostredia, ktoré sú úplne oddelené od hlavného systému a fungujú na samostatnom virtuálnom procesore pomocou samostatného špecializovaného operačného systému.
Hlavným účelom TrustZone je poskytnúť izolované vykonávanie manipulátorov so šifrovacími kľúčmi, biometrickú autentizáciu, fakturačné údaje a ďalšie dôverné informácie.
Interakcia s hlavným operačným systémom prebieha nepriamo prostredníctvom dispečerského rozhrania.
Súkromné šifrovacie kľúče sú umiestnené v hardvérovo izolovanom úložisku kľúčov, ktoré pri správnej implementácii zabráni ich úniku v prípade napadnutia základného systému.
O probléme
Zraniteľnosť je spojená so zlyhaním implementácie algoritmu na spracovanie eliptických kriviek, čo viedlo k úniku informácií o spracovaní údajov.
Vedci vyvinuli technika útoku tretích strán, ktorá umožňuje, na základe nepriameho úniku, rnačítať obsah súkromných kľúčovsa nachádza v hardvérovo izolovanom úložisku Android Keystore.
Úniky sa určujú na základe analýzy aktivity prechodov predikčného bloku a zmien času prístupu k údajom v pamäti.
Počas experimentu Vedci úspešne demonštrovali obnovenie 224- a 256-bitových kľúčov ECDSA z izolovaného skladu kľúčov na hardvéri použitom v smartfóne Nexus 5X.
Obnovenie kľúča trvalo vygenerovanie približne 12 14 digitálnych podpisov, ktorých dokončenie trvalo viac ako XNUMX hodín. Na vykonanie útoku bola použitá sada nástrojov Cachegrab.
Hlavnou príčinou problému je zdieľanie bežných hardvérových komponentov a vyrovnávacej pamäte pre výpočty v TrustZone a v hostiteľskom systéme: izolácia sa vykonáva na úrovni logického oddelenia, ale pomocou bežných výpočtových blokov a nastavenia výpočtových stôp a informácií o skokových adresách v spoločnej pamäti procesora.
Pomocou metódy Prime + Probe na základe odhadu zmeny času prístupu k informáciám uloženým v pamäti môžete skontrolovať dostupnosť určitých vzorov v pamäti cache s dostatočne vysokou presnosťou dátových tokov a znakov vykonania kódu súvisiacich s výpočty digitálnych podpisov v TrustZone.
Väčšinu času generovania digitálnych podpisov s kľúčmi ECDSA na čipoch Qualcomm sa venuje vykonávaniu operácií násobenia v cykle s použitím nezmeneného inicializačného vektora (nonce) pre každý podpis.
Si útočník dokáže získať späť aspoň pár bitov s informáciami o tomto vektore, je možné zahájiť útok na postupné zotavenie celého súkromného kľúča.
V prípade Qualcommu boli v multiplikačnom algoritme odhalené dva body úniku týchto informácií: pri vykonávaní operácií hľadania tabuľky a v kóde podmieneného získavania údajov na základe hodnoty posledného bitu vo vektore „nonce“.
Aj keď kód Qualcomm obsahuje opatrenia na potlačenie úniku informácií v kanáloch tretích strán, vyvinutá metóda útoku vám umožňuje tieto opatrenia obísť a definovať niektoré bity hodnoty „nonce“, čo je dostatočné na obnovenie 256 bitov kľúčov ECDSA.
28. apríla a stále čakám na patche, že v GNU / Linux sa to nestane