當下���,用戶越來越頻繁使用手機進行賬號登錄和金錢交易��,這也可能帶來隱私泄露及財產(chǎn)損失等安適隱患���。面對這一現(xiàn)狀,手機廠商通過ARM TrustZone硬件隔離技術(shù)打造“可信執(zhí)行環(huán)境”�����,從而實現(xiàn)為手機上的敏感程序和數(shù)據(jù)提供安適掩護���。
近日�,百度安適實驗室和弗羅里達州立大學(Florida State University)聯(lián)合研究發(fā)現(xiàn)�����,“TrustZone的底層安適系統(tǒng)(TZOS)和上層安適應用(Trustlet)都存在降級攻擊的風險”���,包孕華為�����、三星�、Google等廠商的多款主流手機都存在這一漏洞��。值得注意的是�,一旦TrustZone被黑客攻破,整個手機的安適性都會受到威脅�。
缺版本號驗證可致TrustZone被攻陷
可信執(zhí)行環(huán)境(TEE)是硬件制造商推出了一種新型安適機制,如ARM的TrustZone����,在數(shù)字世界中被廣泛應用�。它有兩個獨立世界——Normal World和Secure World�����,Normal World中的用戶應用程序和普通操作系統(tǒng)是比較傳統(tǒng)的模式���,而Secure World中的用戶應用程序和其操作系統(tǒng)具有專門用途����。
( 配圖:可信執(zhí)行環(huán)境典型構(gòu)造圖 )
以Android為例��,諸如數(shù)字版權(quán)掩護和一些登錄��、支付協(xié)議的加解密過程和數(shù)據(jù)均存在與Secure World中���,而Secure World中的程序可以自由拜候Normal World中的內(nèi)容�����,反之卻禁止���,因此這在理論上便給攻擊者造成了攻擊難度,即使其攻陷了Normal World里的組件,也無法偷盜或篡改TrustZone里的內(nèi)容���。
然而,Trustlet和TZOS并非固化在硬件中��。為了有效防止攻擊者篡改或替換Trustlet和TZOS����,手機廠商會在設計上,通過包孕引導加載程序(Bootloader)���、可信操作系統(tǒng)及相應的證書或密鑰形成的信任鏈進行驗證操作����,從而確保了Secure World的完整性�。
但是,弗羅里達州立大學和百度安適實驗室通過實驗發(fā)現(xiàn)����,主流手機廠商均沒有對Trustlet和TZOS的版本號做驗證。因此�,只要攻擊者拿到了手機Root權(quán)限(攻陷Normal World),他可以用既有漏洞的Trustlet/TZOS舊版本覆蓋當前Trustlet/TZOS新版本�,然后利用既有漏洞進一步攻陷TrustZone系統(tǒng)。
TrustZone 存在降級攻擊風險 可致Android用戶隱私和機密泄露
一旦ARM的TrustZone被控制,就具備發(fā)動Android TrustZone 的降級攻擊條件����,攻擊者可以用存在已知漏洞的版本去替換現(xiàn)有的版本。當Android TrustZone 缺乏回滾掩護機制����,就會被攻擊者回滾到存在安適漏洞的舊版本。
事實上���,目前的TZOS和Trustlet都存在降級攻擊的風險——攻擊者在TrustZone之外����,可以用低版本TZOS/Trustlet替換當前手機上運行的版本�,然后利用低版本TZOS/Trustlet的漏洞攻入TrustZone。簡單來說�����,如果一個過時的版本有漏洞可以利用�,而漏洞在最新的版本上才被修補時,黑客仍然可以通過將最新版本的軟件降級到可利用的較低版本��,從而獲得一切藏在TrustZone中用戶的賬號密碼等隱私信息�。
以Google Nexus6 為例,其舊版本的DRM Trustlet存在可以讓Normal World攻擊者獲得TrustZone執(zhí)行權(quán)限的CVE-2015- 6639 漏洞,而且已有公開的漏洞利用代碼�����。經(jīng)實驗發(fā)現(xiàn)�����,盡管當手機升級之后(例如更新到N6F26Y這一編號的ROM)這一漏洞得到了修復�,但擁有Root權(quán)限的攻擊者仍然可以用舊版(例如LMY48M這一編號的ROM)中提取的Trustlet覆蓋新版Trustlet��,并成功將其運行起來�。一旦舊版Trustlet運行在了TrustZone里,攻擊者即可發(fā)起既有攻擊拿到TrustZone的執(zhí)行權(quán)限��。因此���,即便手機進行了升級和漏洞修補����,仍然沒有阻止攻擊者進入TrustZone�����。
類似地,針對TZOS也可以做類似的降級攻擊���。研究者用舊版ROM里提取的TZOS覆蓋了升級之后的手機里TZOS所在分區(qū)��,手機仍然通過了Bootloader驗證����、能夠正常啟動��。攻擊者可以因此攻擊TZOS的漏洞動態(tài)獲得TrustZone里的內(nèi)核權(quán)限——這樣便獲得了一切藏在TrustZone里的奧秘和能力���。
主流廠商緊急修復 TrustZone將補發(fā)補丁
截止目前����,百度安適實驗室和弗羅里達州立大學已將這項聯(lián)合研究成果提供給包孕谷歌�,三星,���,華為等在內(nèi)的全球主流手機廠商����。最新消息稱��,國內(nèi)手機廠商華為等已針對TrustZone降級攻擊著手修復。Google Project Zero也獨立地對這一問題進行了研究和披露�,希望各大Android廠商對這一問題引起重視,盡快進行全面地修復��。
此外�����,一些手機廠商逐漸在產(chǎn)品上引入Security Enclave處理器�����,相當于在TrustZone之下引入一層額外的隔離和掩護����。然而�����,Security Enclave如果設計或?qū)崿F(xiàn)時考慮不當���,也會面臨同樣的威脅�����,需要廠商予以注意�����。
