當(dāng)下�,用戶越來越頻繁使用手機(jī)進(jìn)行賬號(hào)登錄和金錢交易,這也可能帶來隱私泄露及財(cái)產(chǎn)損失等安適隱患���。面對(duì)這一現(xiàn)狀�,手機(jī)廠商通過ARM TrustZone硬件隔離技術(shù)打造“可信執(zhí)行環(huán)境”�����,從而實(shí)現(xiàn)為手機(jī)上的敏感程序和數(shù)據(jù)提供安適掩護(hù)。
近日���,百度安適實(shí)驗(yàn)室和弗羅里達(dá)州立大學(xué)(Florida State University)聯(lián)合研究發(fā)現(xiàn)����,“TrustZone的底層安適系統(tǒng)(TZOS)和上層安適應(yīng)用(Trustlet)都存在降級(jí)攻擊的風(fēng)險(xiǎn)”����,包孕華為、三星���、Google等廠商的多款主流手機(jī)都存在這一漏洞����。值得注意的是����,一旦TrustZone被黑客攻破,整個(gè)手機(jī)的安適性都會(huì)受到威脅�����。
缺版本號(hào)驗(yàn)證可致TrustZone被攻陷
可信執(zhí)行環(huán)境(TEE)是硬件制造商推出了一種新型安適機(jī)制��,如ARM的TrustZone,在數(shù)字世界中被廣泛應(yīng)用���。它有兩個(gè)獨(dú)立世界——Normal World和Secure World����,Normal World中的用戶應(yīng)用程序和普通操作系統(tǒng)是比較傳統(tǒng)的模式��,而Secure World中的用戶應(yīng)用程序和其操作系統(tǒng)具有專門用途����。
( 配圖:可信執(zhí)行環(huán)境典型構(gòu)造圖 )
以Android為例,諸如數(shù)字版權(quán)掩護(hù)和一些登錄����、支付協(xié)議的加解密過程和數(shù)據(jù)均存在與Secure World中,而Secure World中的程序可以自由拜候Normal World中的內(nèi)容��,反之卻禁止�,因此這在理論上便給攻擊者造成了攻擊難度����,即使其攻陷了Normal World里的組件,也無法偷盜或篡改TrustZone里的內(nèi)容����。
然而��,Trustlet和TZOS并非固化在硬件中�����。為了有效防止攻擊者篡改或替換Trustlet和TZOS���,手機(jī)廠商會(huì)在設(shè)計(jì)上,通過包孕引導(dǎo)加載程序(Bootloader)�、可信操作系統(tǒng)及相應(yīng)的證書或密鑰形成的信任鏈進(jìn)行驗(yàn)證操作,從而確保了Secure World的完整性�����。
但是�,弗羅里達(dá)州立大學(xué)和百度安適實(shí)驗(yàn)室通過實(shí)驗(yàn)發(fā)現(xiàn),主流手機(jī)廠商均沒有對(duì)Trustlet和TZOS的版本號(hào)做驗(yàn)證���。因此���,只要攻擊者拿到了手機(jī)Root權(quán)限(攻陷Normal World),他可以用既有漏洞的Trustlet/TZOS舊版本覆蓋當(dāng)前Trustlet/TZOS新版本���,然后利用既有漏洞進(jìn)一步攻陷TrustZone系統(tǒng)�。
TrustZone 存在降級(jí)攻擊風(fēng)險(xiǎn) 可致Android用戶隱私和機(jī)密泄露
一旦ARM的TrustZone被控制,就具備發(fā)動(dòng)Android TrustZone 的降級(jí)攻擊條件���,攻擊者可以用存在已知漏洞的版本去替換現(xiàn)有的版本�����。當(dāng)Android TrustZone 缺乏回滾掩護(hù)機(jī)制�,就會(huì)被攻擊者回滾到存在安適漏洞的舊版本�����。
事實(shí)上����,目前的TZOS和Trustlet都存在降級(jí)攻擊的風(fēng)險(xiǎn)——攻擊者在TrustZone之外,可以用低版本TZOS/Trustlet替換當(dāng)前手機(jī)上運(yùn)行的版本��,然后利用低版本TZOS/Trustlet的漏洞攻入TrustZone���。簡(jiǎn)單來說,如果一個(gè)過時(shí)的版本有漏洞可以利用���,而漏洞在最新的版本上才被修補(bǔ)時(shí)�����,黑客仍然可以通過將最新版本的軟件降級(jí)到可利用的較低版本����,從而獲得一切藏在TrustZone中用戶的賬號(hào)密碼等隱私信息。
以Google Nexus6 為例�,其舊版本的DRM Trustlet存在可以讓Normal World攻擊者獲得TrustZone執(zhí)行權(quán)限的CVE-2015- 6639 漏洞,而且已有公開的漏洞利用代碼�����。經(jīng)實(shí)驗(yàn)發(fā)現(xiàn)�,盡管當(dāng)手機(jī)升級(jí)之后(例如更新到N6F26Y這一編號(hào)的ROM)這一漏洞得到了修復(fù),但擁有Root權(quán)限的攻擊者仍然可以用舊版(例如LMY48M這一編號(hào)的ROM)中提取的Trustlet覆蓋新版Trustlet���,并成功將其運(yùn)行起來�。一旦舊版Trustlet運(yùn)行在了TrustZone里����,攻擊者即可發(fā)起既有攻擊拿到TrustZone的執(zhí)行權(quán)限。因此���,即便手機(jī)進(jìn)行了升級(jí)和漏洞修補(bǔ)�����,仍然沒有阻止攻擊者進(jìn)入TrustZone��。
類似地����,針對(duì)TZOS也可以做類似的降級(jí)攻擊。研究者用舊版ROM里提取的TZOS覆蓋了升級(jí)之后的手機(jī)里TZOS所在分區(qū)����,手機(jī)仍然通過了Bootloader驗(yàn)證、能夠正常啟動(dòng)���。攻擊者可以因此攻擊TZOS的漏洞動(dòng)態(tài)獲得TrustZone里的內(nèi)核權(quán)限——這樣便獲得了一切藏在TrustZone里的奧秘和能力�����。
主流廠商緊急修復(fù) TrustZone將補(bǔ)發(fā)補(bǔ)丁
截止目前�,百度安適實(shí)驗(yàn)室和弗羅里達(dá)州立大學(xué)已將這項(xiàng)聯(lián)合研究成果提供給包孕谷歌����,三星,�,華為等在內(nèi)的全球主流手機(jī)廠商。最新消息稱����,國內(nèi)手機(jī)廠商華為等已針對(duì)TrustZone降級(jí)攻擊著手修復(fù)。Google Project Zero也獨(dú)立地對(duì)這一問題進(jìn)行了研究和披露���,希望各大Android廠商對(duì)這一問題引起重視�����,盡快進(jìn)行全面地修復(fù)����。
此外����,一些手機(jī)廠商逐漸在產(chǎn)品上引入Security Enclave處理器,相當(dāng)于在TrustZone之下引入一層額外的隔離和掩護(hù)��。然而���,Security Enclave如果設(shè)計(jì)或?qū)崿F(xiàn)時(shí)考慮不當(dāng)��,也會(huì)面臨同樣的威脅��,需要廠商予以注意���。
