百度安全实验室发布最新TrustZone降级攻击实验研究成果

　当下，用户越来越频仍行使手机举办账号登录和款子买卖营业，这也也许带来隐私泄漏及工业丧失等安详隐患。面临这一近况，手机厂商通过ARM TrustZone硬件断特技能打造“可信执行情形”，从而实现为手机上的敏感措施和数据提供安详掩护。

　　克日，百度安详尝试室和弗罗里达州立大学(Florida State University)连系研究发明，“TrustZone的底层安详体系(TZOS)和上层安详应用(Trustlet)都存在降级进攻的风险”，包罗华为、三星、Google等厂商的多款主流手机都存在这一裂痕。值得留意的是，一旦TrustZone被黑客攻破，整个手机的安详性城市受到威胁。

　　缺版本号验证可致TrustZone被攻下

　　可信执行情形(TEE)是硬件制造商推出了一种新型安详机制，如ARM的TrustZone，在数字天下中被普及应用。它有两个独立天下——Normal World和Secure World，Normal World中的用户应用措施和平凡操纵体系是较量传统的模式，而Secure World中的用户应用措施和其操纵体系具有专门用途。

( 配图：可信执行情形典范结构图 )

　　以Android为例，诸如数字版权掩护和一些登录、付出协议的加解密进程和数据均存在与Secure World中，而Secure World中的措施可以自由会见Normal World中的内容，反之却榨取，因此这在理论上便给进攻者造成了进攻难度，纵然其攻下了Normal World里的组件，也无法偷窃或改动TrustZone里的内容。

　　然而，Trustlet和TZOS并非固化在硬件中。为了有用防备进攻者改动或替代Trustlet和TZOS，手机厂商会在计划上，通过包罗引导加载措施(Bootloader)、可信操纵体系及响应的证书或密钥形成的信赖链举办验证操纵，从而确保了Secure World的完备性。

　　可是，弗罗里达州立大学和百度安详尝试室通过尝试发明，主流手机厂商均没有对Trustlet和TZOS的版本号做验证。因此，只要进攻者拿到了手机Root权限(攻下Normal World)，他可以用既有裂痕的Trustlet/TZOS旧版本包围当前Trustlet/TZOS新版本，然后操作既有裂痕进一步攻下TrustZone体系。

　　TrustZone 存在降级进攻风险 可致Android用户隐私和机要泄漏

　　一旦ARM的TrustZone被节制，就具备动员Android TrustZone 的降级进攻前提，进攻者可以用存在已知裂痕的版本去替代现有的版本。当Android TrustZone 缺乏回滚掩护机制，就会被进攻者回滚到存在安详裂痕的旧版本。

　　究竟上，今朝的TZOS和Trustlet都存在降级进攻的风险——进攻者在TrustZone之外，可以用低版本TZOS/Trustlet替代当前手机上运行的版本，然后操作低版本TZOS/Trustlet的裂痕攻入TrustZone。简朴来说，假如一个过期的版本有裂痕可以操作，而裂痕在最新的版本上才被修补时，黑客如故可以通过将最新版本的软件降级到可操作的较低版本，从而得到统统藏在TrustZone顶用户的账号暗码等隐私信息。

　　以Google Nexus6 为例，其旧版本的DRM Trustlet存在可以让Normal World进攻者得到TrustZone执行权限的CVE-2015- 6639 裂痕，而且已有果真的裂痕操作代码。经尝试发明，尽量当手机进级之后(譬喻更新到N6F26Y这一编号的ROM)这一裂痕获得了修复，但拥有Root权限的进攻者如故可以用旧版(譬喻LMY48M这一编号的ROM)中提取的Trustlet包围新版Trustlet，并乐成将其运行起来。一旦旧版Trustlet运行在了TrustZone里，进攻者即可提倡既有进攻拿到TrustZone的执行权限。因此，即便手机举办了进级和裂痕修补，如故没有阻止进攻者进入TrustZone。

　　相同地，针对TZOS也可以做相同的降级进攻。研究者用旧版ROM里提取的TZOS包围了进级之后的手机里TZOS地址分区，手机如故通过了Bootloader验证、可以或许正常启动。进攻者可以因此进攻TZOS的裂痕动态得到TrustZone里的内核权限——这样便得到了统统藏在TrustZone里的奥秘和手段。

　　主流厂商紧张修复 TrustZone将补发补丁

　　截至今朝，百度安详尝试室和弗罗里达州立大学已将这项连系研究成就提供应包罗谷歌，三星，华为等在内的环球主流手机厂商。最新动静称，海内手机厂商华为等已针对TrustZone降级进攻着手修复。Google Project Zero也独立地对这一题目举办了研究和披露，但愿各大Android厂商对这一题目引起重视，尽快举办全面地修复。

　　另外，一些手机厂商逐渐在产物上引入Security Enclave处理赏罚器，相等于在TrustZone之下引入一层特另外断绝和掩护。然而，Security Enclave假如计划或实现时思量不妥，也谋面对同样的威胁，必要厂商予以留意。

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!