Дослідники створили експлоїт для отримання root-доступу до Android-смартфонам з допомогою вразливості Rowhammer



Міжнародна група дослідників з Австрії, Нідерландів і США, інформаційної безпеки розробила атаку, що дозволяє отримати root-доступ до великої кількості Android-пристроїв, пишет видання Ars Tehnica. Для цього експлуатується техніка Rowhammer, що дозволяє здійснювати маніпуляції з даними, що зберігаються в комірках пам'яті. При цьому, раніше вважалося, що атаки з використанням уразливості Rowhammer мають обмежені перспективи реального застосування — новий експлойт демонструє, що їй піддане набагато більше пристроїв, ніж передбачалося (включаючи і працюють на ARM-чіпах).

Дослідники створили спеціальний додаток-експлойт Drammer, яке не потребує ніяких особливих прав і не використовує ніяких Android-вразливостей. Атака здійснюється з допомогою вразливості апаратного забезпечення — аналогічно описаній техніки Rowhammer він «простукивает» біти пам'яті пристрою, змінюючи важливі дані. Це дозволяє отримувати root-доступ до гаджетам виробництва компаній LG, Motorola, Samsung, OnePlus і, можливо, інших вендорів.

У чому проблема

Техніка, Rowhammer була описана в одному з наших попередніх матеріалів:

Пам'ять DDR являє собою масив розбитих на блоки рядків і стовпців. До них звертаються різні додатки і операційна система. У кожному великому ділянці пам'яті передбачена своя «пісочниця», отримувати доступ до якої може лише певний процес або додаток.

Якщо запустити софт, який буде сотні і тисячі разів за частку секунди звертатися до конкретних рядків у таких ділянках («простукуючи» їх, як молотком — звідси і назва hammering), то внаслідок певних фізичних явищ, це може вплинути на сусідню ділянку пам'яті. Це може призвести до зміни значень бітів у ньому з нулів на одиниці і навпаки.

Отримавши можливість впливати на зміст навіть заблокованих областей пам'яті, зловмисники можуть здійснювати атаки, що призводять до підвищення привілеїв аж до адміністративних. Відповідно, можливий запуск шкідливого коду або перехоплення дій користувачів або програм.
Один з творців експлойта для атак на Android-смартфони, дослідник на ім'я Віктор ван дер Веен (Victor van der Veen): «До недавнього часу ми навіть не могли подумати про такі баги заліза, і софт ніколи не писали так, щоб їх враховувати. Тепер ми можемо використовувати ці діри безпеки для того, щоб зламувати смартфони і планшети з високим рівнем надійності і без необхідності використання вразливостей програмного забезпечення. І немає ніякої можливості швидко випустити патч вирішальний проблему».

На даний момент за допомогою Drammer root-доступ вдалося отримати до наступних пристроїв: Nexus 4, Nexus 5 і G4 від LG, Moto G моделі від 2013 і 2014 років від Motorola, Galaxy Galaxy S4 і S5 від Samsung, а також One від OnePlus. В деяких випадках не завжди вдавалося домогтися належного сталості результатів — наприклад, отримати root-доступ вдалося лише для 12 з 15 моделей Nexus 5, у разі Galaxy S5 скомпрометований був один з двох випробовуваних смартфонів.

Дослідники до кінця не розуміють, чому так відбувається, але припускають, що справа може бути в різному «віці» протестованих пристроїв — більш активне або тривале використання може призводити до «зносу» комірок пам'яті. Крім того, можливо, чіпи пам'яті від певних виробників більш стійкі до уразливості Rowhammer, ніж інші, а різні покоління одного і того ж смартфона можуть використовувати різні чіпи.

Демонстрація роботи

Дослідники опублікували два демонстраційних відео роботи Drammer для отримання root-доступу на LG Nexus 5. На відео смартфон підключений до комп'ютера по USB, проте для здійснення атаки це не обов'язково.

Представлений на першому відео смартфон працює під управлінням Android 6.0.1 з встановленими патчами безпеки від 5 жовтня. Починаючи приблизно з 0:15 програма починає «простукувати» пам'ять і між 0:30 0:50 експлойт додає нові записи в таблицю сторінок пам'яті. На позначці 0:50 Drammer отримує root-доступ і відкриває шелл, що дає повний контроль над пристроєм.



На другому відео Drammer використовується в зв'язці з кодом, експлуатуючим вразливість Stagefright — вона залишається невиправлена на багатьох пристроях. В результаті атака дозволяє отримати контроль над ядром ОС. На відео можна побачити, що експлоїт Stagefright також відкриває шелл, проте як і раніше має лише обмежені права і, наприклад, не може отримати доступ до SD-картки смартфона. У свою чергу, запущений пізніше Drammer отримує root-доступ (починаючи з 3:30 на відео).



Дослідники сповістили інженерів Google про свою роботу ще в липні 2016 року, і компанія привласнила уразливості найвищий, критичний статус. Крім того, дослідники отримали $4000 в рамках програми Bug Bounty. Компанія сповістила своїх партнерів-виробників у жовтні, а випуск оновлень планується в листопаді. Тим не менш, розробники попереджають, що навіть тоді hardware-уразливість Rowhammer не буде остаточно закрита, атакуючим просто стане складніше її використовувати.

Докладний доповідь про виконану роботу буде представлений на конференції ACM Conference on Computer Security and Communications, яка проходить в ці дні у Відні. Деталі виявленої уразливості опубліковані на спеціальній інформаційній сторінці.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.