LINUX.ORG.RU

Атака RAMpage затрагивает почти все Android-устройства

 , , ,


0

1

Группа исследователей из нескольких университетов обнаружила новые варианты эксплуатации уязвимости Rowhammer в подсистеме ION (драйвер памяти) являющейся частью ОС Android, используемом в Android-устройствах начиная с версии 4.0 «Ice Cream Sandwich» (устройства. выпущенные с 2012 года).

RAMpage схожа с уже известной атакой DRammer, воздействующей на аппаратную уязвимость Rowhammer и заключается в вынужденном переключении состояния ячеек DRAM — из-за высокой плотности компоновки ячеек становится возможно спровоцировать переключение соседних ячеек постоянной перезаписью памяти, доступной атакующему процессу. Атака RAMpage r0 заставляет ION путем исчерпания области highmem размещать страницы памяти непрерывно и поместить страницу памяти атакующего приложения в область lowmem, где после может быть расположена таблица страниц ядра. На этом этапе осуществляется поиск уязвимых к bit flip областей и после этого память освобождается обратно, что косвенным образом заставляет ION поместить системную память на уязвимую область физической памяти, где и осуществляется атака. По мнению специалистов проведение атаки возможно выполнить на большинстве современных устройств с памятью LPDDR2, LPDDR3 и LPDDR4.

Для снижения риска эксплуатации был опубликован инструмент GuardION, суть которого заключается в добавлении промежутков в памяти между страницами, не позволяющими исполнить такой вариант атаки.

PDF с описанием атаки и описанием механизма работы GuardION

>>> Подробности

☆☆

Проверено: tailgunner ()
Последнее исправление: cetjs2 (всего исправлений: 11)

Автор, поправь опечатку в названии.

pusheeen
()

Такое красивое название потратили на очередной Rowhammer. Не жалко?

t184256 ★★★★★
()

Интересно насколько вообще реально заюзать этот rowhammer хоть на какой-нибудь архитектуре хоть с какой-нибудь пользой, кроме как разве что уронить систему. Выглядит столь же вероятно, как поймать бозон Хиггса на старый плёночный Зенит.

dimgel ★★★★★
()

сплошные уязвимости, то тут то там

когда уже наступит технологический кризис чтоб я мог спокойно уйти в леса

cuelebra
()
Ответ на: комментарий от StReLoK

И каким образом записью в области памяти, содержащие неизвестно что и ЕМНИП весьма ограниченного объёма, можно получить рут?

dimgel ★★★★★
()

Android
затрагивает почти все устройства

Ничего нового, как всегда.
Что интересно, обновы получит лишь часть устройств, а остальные остануться с ней навсегда, только на помойку.
Впринципе, логично. Орео же в работе, как говорят «Нужно новый телефон покупать, а то у меня Андроид старый ©»

fehhner ★★★★★
()
Ответ на: комментарий от mos

как обычно - надо скачать скомпилить и запустить от рута.

От рута не нужно.

tailgunner ★★★★★
()
Ответ на: комментарий от dimgel

И каким образом записью в области памяти, содержащие неизвестно что и ЕМНИП весьма ограниченного объёма, можно получить рут?

По ссылкам к новости это описано.

tailgunner ★★★★★
()
Ответ на: комментарий от mos

как обычно

Ну это тогда через рекламные сети распространяется в бесплатных приложениях рекламой, похищает пароли и рута не требует, если «как обычно».

fehhner ★★★★★
()
Ответ на: комментарий от dimgel

Читай PDFку. Самого эксплойта в паблике вроде пока нет.

The exploitation steps for rampage r0 now involve the following sequence:
1. Exhaust ION memory page pools.
2. Monitor /proc/pagetypeinfo and allocate chunks using ION’s SYSTEM heap with large orders that span at least 3 or more physical rows, e.g., chunks of at least 256 KB if the row size is 64 KB. As soon as ION’s internal pools are drained, we will see each of these large order allocations immediately affecting pagetypeinfo. From this point, each subsequent request for (large) ION chunks is likely to be contiguous as they are being served by buddy directly.
3. Optionally, to confirm that allocated chunks are contiguous, we could either (1) perform double-sided Rowhammer to check if there are any flips, or (2) use the bank-conflict side-channel [12].
4. Template the memory using double-sided Rowhammer to find an exploitable page.
5. Perform Phys Feng Shui so that the large chunk that contains the vulnerable page is split in multiple smaller chunks (of the row size) that we can release individually [28].
6. Confirm that the aggressor rows are still accessible by performing a second templating round.
7. Release the vulnerable row. This will give it back to the ION cache.
8. Perform a cache pool shrink operation. This will release memory from all registered shrinkers—including the ION cache—back to buddy.
9. Perform page table spraying while monitoring /proc/pagetypeinfo until the first chunk of the row size is touched.
10. Allocate page tables until all chunks of the row size are used.
Once page tables using row size chunks are allocated, we could set those page tables with values that point it back to itself when hammered. Once we are able to get access to the page table, we scan the kernel memory for struct cred bytes and overwrite the UID’s to that of root.

StReLoK ☆☆
() автор топика

А практическую пользу можно из этого извлечь? То есть сделать root на устройстве без перепрошивки и без риска поставить трояна?

Deathstalker ★★★★★
()

ЯЗАБАН tailgunner'а, запарил уже все самое интересное удалять, оставляя лишь то, что удовлетворяет его бесценному вкусу

anonymous
()

По описанию я понял, что речь идет о паразитной записи в соседние ячейчи памяти. Если так, то при чем здесь вообще андроид? Это же железная пробема.

Deleted
()
Ответ на: комментарий от fehhner

А зачем покупать телефоны по 70 000 руп и цепляться за них пять лет, требуя обнов, если можно купить телефон за 7 000 руп и просто покупать его каждый год-два с новой ОС?

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Ъ телефон на ведроиде должен быть в статусе EOL ещё до начала продаж. В идеале конечно даже до начала разработки, но можно и так.

StReLoK ☆☆
() автор топика
Ответ на: комментарий от fehhner

Что интересно, обновы получит лишь часть устройств, а остальные остануться с ней навсегда, только на помойку.

В первую очередь, это хардварная проблема. Софтверно можно добавить только костыли, минимизирующие хардварную проблему. Глупо переваливать данную проблему на софт.

andreyu ★★★★★
()
Ответ на: комментарий от AVL2

а в телефоне за 7 000 есть нфс, адекватная камера и нетормозящий скролл в браузере? И продержится ли в нем клей и припой целый год или отвалится после первого же нагрева?

cuelebra
()
Ответ на: комментарий от cuelebra

а в телефоне за 7 000 … продержится ли в нем клей и припой целый год или отвалится после первого же нагрева?

Ты работаешь металлургом и выкладываешь в инстаграм фоточки шлама, падающего с транспортера в домну? Или чем ты собрался нагревать телефон, теплом яиц через материал кармана?

Virtuos86 ★★★★★
()
Ответ на: комментарий от cuelebra

леса будут загажены и в них не будет живых зверюшек, только мёртвые, и с пластиком внутри

Harald ★★★★★
()

одни уезвимости с этим андроидом и не только. хотя бы побыстрее фуксию запили, глядишь получше окажется, все же не жава а го, дарт и еще что то такое.

Deleted
()
Ответ на: комментарий от Virtuos86

тебе напомнить как в одной игровой приставке от гиганта индустрии отваливался припой из-за нагрева платы, вызывая знаменитое «red ring of death»?

cuelebra
()
Ответ на: комментарий от AVL2

телефон за 7 000 руп и просто покупать его каждый год-два с новой ОС?

На телефонах за 7 тысяч руп не бывает новых ОС, покажи хоть один этого года с 8.1. Повезёт, если с 7-й тухлятиной найдёшь.

imul ★★★★★
()

решето решето, а я не могу до сих пор поднять права без стороннего загрузчика.

deity ★★★★
()

был опубликован инструмент GuardION, суть которого заключается в добавлении промежутков в памяти между страницами, не позволяющими исполнить такой вариант атаки.

ужасы нашего городка. а ещё страницы в случайном порядке можно размещать в памяти, как фря делает, а ещё против meltdown сделали патчи в ядро замедляющие работу ос на 30%.

но на самом деле чтобы порутить устройство на андроиде, надо просто скачать апк из уэба, один раз его запустить и оно даже само поставит supersu, не надо из магазина ставить, очень удобно.

но rampage - это звучит круто конечно.

anonymous
()
Ответ на: комментарий от cuelebra

игровой приставке от гиганта индустрии отваливался припой из-за нагрева платы

слышу звон, но не знаю где он. х-ящики перегревались и из-за перегрева возникали различные проблемы (внезапно, логично). про «отваливался припой» - наверное мойша по телефону за 70000 рублей напел. на телефоне за 7000 рублей сейчас есть всё, что нужно для телефона и даже то, что не нужно.

anonymous
()
Ответ на: комментарий от anonymous

Поддерживаю вынос этого Короля шлангов. Его величество, наверно, даже эти сообщения не прочтет. Звал много раз по вопросам переноса тем и пр., как об стенку горох. Когда-то он что-то делал, а сейчас уже шлангует. Напишите ему, регистранты!

anonymous
()
Ответ на: комментарий от anonymous

Вообще-то, он удалил свой комментарий, а заодно в топку по умолчанию отправились и ответы. Хотя, возможно, это как раз тот самый редкий случай, когда имеет смысл исходный комментарий удалить, а ответы оставить.

hobbit ★★★★★
()
Ответ на: комментарий от anonymous

Подписываюсь.

P S камера более 5-8 MP мне не нужна. Т.е. раз в 2 года меняем телефон.

anonymous
()
Ответ на: комментарий от hobbit

Это оттягчающее для него, верно? Дк же довел до логического конца свою идею с выборочным удалением?

anonymous
()
Ответ на: комментарий от cuelebra

Какое отношение имеет игровая приставка к другому роду электронных устройств? Я ни разу не слышал, чтобы даже китайские «трубки» от перегрева в результате использования глючили. Единственное, от нагрева АКБ срабатывает защита на уровне ПО.

Virtuos86 ★★★★★
()
Ответ на: комментарий от cuelebra

нетормозящий скролл в браузере

Киллерфитча без которой телефон не телефон.

anonymous
()
Ответ на: комментарий от anonymous

на телефоне за 7000 рублей сейчас есть всё, что нужно для телефона и даже то, что не нужно

+1. Есть у меня приятель-плюсовик, всю жизнь с мобильниками работал (в т.ч. был тимлидом на проекте какого-то навигатора, одного из многих кому Тёма пилил дизайн). Крутейший джип со страшной мордой, пейнтбольные ружья каждое дороже чем вся моя жизнь, - и Xiaomi Redmi 4 Prime. Идеальный, говорит, телефон, и батарея ёмкая. Игрался, говорит, с разными прошивками, потом забил и вернул заводскую.

dimgel ★★★★★
()
Ответ на: комментарий от Virtuos86

фоточки шлака на поверхности жидкого чугуна, особенно, когда он их шваброй собирает и та гореть начинает

Kompilainenn ★★★★★
()
Ответ на: комментарий от anonymous

Про «дизайн от тёмы» я упомянул в смысле - не самопал пилили, а на контору с деньгами.

dimgel ★★★★★
()
Ответ на: у меня телефон за 7 тыров от sqq

Речь не о тебе и не о твоих потребностях. А о том, что кто-то звезданул будто можно каждый год покупать телефон за $100 с последним андроидом. Так покажите мне этот телефон.

imul ★★★★★
()
Ответ на: комментарий от KillTheCat

Ну так иди мимо, или читать научись.

imul ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.