當(dāng)下����,用戶(hù)越來(lái)越頻繁使用手機(jī)進(jìn)行賬號(hào)登錄和金錢(qián)交易,這也可能帶來(lái)隱私泄露及財(cái)產(chǎn)損失等安適隱患。面對(duì)這一現(xiàn)狀���,手機(jī)廠商通過(guò)ARM TrustZone硬件隔離技術(shù)打造“可信執(zhí)行環(huán)境”,從而實(shí)現(xiàn)為手機(jī)上的敏感程序和數(shù)據(jù)提供安適掩護(hù)����。
近日�,百度安適實(shí)驗(yàn)室和弗羅里達(dá)州立大學(xué)(Florida State University)聯(lián)合研究發(fā)現(xiàn)����,“TrustZone的底層安適系統(tǒng)(TZOS)和上層安適應(yīng)用(Trustlet)都存在降級(jí)攻擊的風(fēng)險(xiǎn)”,包孕華為、三星、Google等廠商的多款主流手機(jī)都存在這一漏洞。值得注意的是,一旦TrustZone被黑客攻破,整個(gè)手機(jī)的安適性都會(huì)受到威脅����。
缺版本號(hào)驗(yàn)證可致TrustZone被攻陷
可信執(zhí)行環(huán)境(TEE)是硬件制造商推出了一種新型安適機(jī)制����,如ARM的TrustZone���,在數(shù)字世界中被廣泛應(yīng)用�。它有兩個(gè)獨(dú)立世界——Normal World和Secure World,Normal World中的用戶(hù)應(yīng)用程序和普通操作系統(tǒng)是比較傳統(tǒng)的模式,而Secure World中的用戶(hù)應(yīng)用程序和其操作系統(tǒng)具有專(zhuān)門(mén)用途���。
( 配圖:可信執(zhí)行環(huán)境典型構(gòu)造圖 )
以Android為例����,諸如數(shù)字版權(quán)掩護(hù)和一些登錄、支付協(xié)議的加解密過(guò)程和數(shù)據(jù)均存在與Secure World中�,而Secure World中的程序可以自由拜候Normal World中的內(nèi)容����,反之卻禁止,因此這在理論上便給攻擊者造成了攻擊難度���,即使其攻陷了Normal World里的組件,也無(wú)法偷盜或篡改TrustZone里的內(nèi)容����。
然而���,Trustlet和TZOS并非固化在硬件中���。為了有效防止攻擊者篡改或替換Trustlet和TZOS���,手機(jī)廠商會(huì)在設(shè)計(jì)上����,通過(guò)包孕引導(dǎo)加載程序(Bootloader)�、可信操作系統(tǒng)及相應(yīng)的證書(shū)或密鑰形成的信任鏈進(jìn)行驗(yàn)證操作,從而確保了Secure World的完整性。
但是,弗羅里達(dá)州立大學(xué)和百度安適實(shí)驗(yàn)室通過(guò)實(shí)驗(yàn)發(fā)現(xiàn)����,主流手機(jī)廠商均沒(méi)有對(duì)Trustlet和TZOS的版本號(hào)做驗(yàn)證�。因此����,只要攻擊者拿到了手機(jī)Root權(quán)限(攻陷Normal World)�,他可以用既有漏洞的Trustlet/TZOS舊版本覆蓋當(dāng)前Trustlet/TZOS新版本,然后利用既有漏洞進(jìn)一步攻陷TrustZone系統(tǒng)����。
TrustZone 存在降級(jí)攻擊風(fēng)險(xiǎn) 可致Android用戶(hù)隱私和機(jī)密泄露
一旦ARM的TrustZone被控制���,就具備發(fā)動(dòng)Android TrustZone 的降級(jí)攻擊條件����,攻擊者可以用存在已知漏洞的版本去替換現(xiàn)有的版本�。當(dāng)Android TrustZone 缺乏回滾掩護(hù)機(jī)制,就會(huì)被攻擊者回滾到存在安適漏洞的舊版本����。
事實(shí)上���,目前的TZOS和Trustlet都存在降級(jí)攻擊的風(fēng)險(xiǎn)——攻擊者在TrustZone之外���,可以用低版本TZOS/Trustlet替換當(dāng)前手機(jī)上運(yùn)行的版本����,然后利用低版本TZOS/Trustlet的漏洞攻入TrustZone����。簡(jiǎn)單來(lái)說(shuō),如果一個(gè)過(guò)時(shí)的版本有漏洞可以利用���,而漏洞在最新的版本上才被修補(bǔ)時(shí),黑客仍然可以通過(guò)將最新版本的軟件降級(jí)到可利用的較低版本����,從而獲得一切藏在TrustZone中用戶(hù)的賬號(hào)密碼等隱私信息。
以Google Nexus6 為例,其舊版本的DRM Trustlet存在可以讓Normal World攻擊者獲得TrustZone執(zhí)行權(quán)限的CVE-2015- 6639 漏洞���,而且已有公開(kāi)的漏洞利用代碼。經(jīng)實(shí)驗(yàn)發(fā)現(xiàn),盡管當(dāng)手機(jī)升級(jí)之后(例如更新到N6F26Y這一編號(hào)的ROM)這一漏洞得到了修復(fù)���,但擁有Root權(quán)限的攻擊者仍然可以用舊版(例如LMY48M這一編號(hào)的ROM)中提取的Trustlet覆蓋新版Trustlet,并成功將其運(yùn)行起來(lái)。一旦舊版Trustlet運(yùn)行在了TrustZone里�,攻擊者即可發(fā)起既有攻擊拿到TrustZone的執(zhí)行權(quán)限。因此�,即便手機(jī)進(jìn)行了升級(jí)和漏洞修補(bǔ),仍然沒(méi)有阻止攻擊者進(jìn)入TrustZone。
類(lèi)似地,針對(duì)TZOS也可以做類(lèi)似的降級(jí)攻擊���。研究者用舊版ROM里提取的TZOS覆蓋了升級(jí)之后的手機(jī)里TZOS所在分區(qū)����,手機(jī)仍然通過(guò)了Bootloader驗(yàn)證、能夠正常啟動(dòng)����。攻擊者可以因此攻擊TZOS的漏洞動(dòng)態(tài)獲得TrustZone里的內(nèi)核權(quán)限——這樣便獲得了一切藏在TrustZone里的奧秘和能力���。
主流廠商緊急修復(fù) TrustZone將補(bǔ)發(fā)補(bǔ)丁
截止目前�,百度安適實(shí)驗(yàn)室和弗羅里達(dá)州立大學(xué)已將這項(xiàng)聯(lián)合研究成果提供給包孕谷歌���,三星�,,華為等在內(nèi)的全球主流手機(jī)廠商����。最新消息稱(chēng)����,國(guó)內(nèi)手機(jī)廠商華為等已針對(duì)TrustZone降級(jí)攻擊著手修復(fù)����。Google Project Zero也獨(dú)立地對(duì)這一問(wèn)題進(jìn)行了研究和披露,希望各大Android廠商對(duì)這一問(wèn)題引起重視�,盡快進(jìn)行全面地修復(fù)。
此外�,一些手機(jī)廠商逐漸在產(chǎn)品上引入Security Enclave處理器���,相當(dāng)于在TrustZone之下引入一層額外的隔離和掩護(hù)����。然而,Security Enclave如果設(shè)計(jì)或?qū)崿F(xiàn)時(shí)考慮不當(dāng),也會(huì)面臨同樣的威脅����,需要廠商予以注意���。
