Drammer to fizyczny exploit Androida – sprawdź, czy bijąc pamięć smartfonu dostaniesz roota

Nowy błąd w architekturze pamięci operacyjnej wykorzystywanej wlicznych smartfonach z Androidem otworzył drogę do uzyskania nanich roota, przed czym trudno będzie zabezpieczyć sięsoftware’owymi łatkami. Problem bowiem nie ma nic wspólnego zsoftware, a mimo to pozwala przejąć kontrolę nad kluczowymikomponentami systemu i wyłączyć jego zabezpieczenia.

Ponad półtora roku temu opisywaliśmysztuczkę polegającą na zmienianiu zawartości komórek pamięciDRAM poprzez fizyczne operacje odczytu i zapisu prowadzone nakomórkach sąsiednich. Nazwana przez odkrywców z Intela i CarnegieMellon University „Rowhammer”, wydawała się jedynie akademickąciekawostką – faktycznie zakłócenia w coraz bardziejzminiaturyzowanych układach występowały, ale jak to praktyczniewykorzystać? Już jednak kilka miesięcy po ich odkryciuinżynierowie Google’a znaleźli sposób na wykorzystanie tejfizycznej podatności do zmiany zawartości chronionej pamięci, doktórej software’owo by nie mieli dostępu.

Przełączenie kilku bitów nie wyglądało jednak groźnie, mimoże pozwoliło wydostać się z sandboksa przeglądarki Chrome.Eksperci od bezpieczeństwa deklarowali, że zaawansowane mechanizmyzarządzania pamięcią bez problemu poradzą sobie z tymi trudnymido przeprowadzenia atakami, a samo Google wyłączyło funkcję,którą wykorzystano do ucieczki z sandboksa. Jednak niektórzywhitehaci nie chcieli się poddać, i wciąż rozwijali możliwościRowhammera. Z czasem pokazali, jak przeprowadzić ten atak za pomocąhostowanego na stronach internetowych JavaScriptu, a następniewymyślili piękną technikę o nazwie Flip Feng Shui, któranadużywając techniki deduplikacji pamięci tworzyła takąstrukturę w fizycznej pamięci, że możliwe stało się za pomocąRowhammera zmodyfikowanie wrażliwych danych, np. kluczykryptograficznych. Działało to tylko na niektórych rodzajachpamięci DDR3 i DDR4 w architekturze x86 – ale podejrzewano, żeatak taki można przeprowadzić też na innych architekturach, np.ARM.

Teraz międzynarodowy zespół badaczy pod przewodnictwem Victoravan der Veena przedstawił kolejne, niezwykle już praktycznezastosowanie Rowhammera. Możesz mieć całkowicie załatanegosmartfona z Androidem, bez roota, z zablokowanym bootloaderem…Chwilę później możesz mieć na telefonie su, pełne uprawnieniaadministracyjne. Fizyczny atak na pamięć pozwolił w ten sposóbzłamać LG G4, Nexusy 4 i 5, Motorolę Moto G z roczników 2013 i2014, Samsungi Galaxy S4 i S5, a także słynnego chińskiego OnePlus One. To jednak nie jest pełna lista urządzeń, na których tenatak działa. Jeśli chcecie sprawdzić, czy i wasz telefon jestpodatny na ten atak, możecie zainstalować testującą tę podatnośćaplikację Drammer.

Przygotowano też dwa filmy, demonstrujące ataki. Pierwszypokazuje, jak na niezrootowanym Nexusie 5, po 35 sekundach atakzdobywa roota i otwiera okno powłoki systemowej. Na drugim widzimy,jak w połączeniu ze starym Stagefrightem, wciąż niezałatanym nawielu urządzeniach, zdalnie uruchomiony kod nagle otrzymujeuprawnienia roota i ucieka z zabezpieczeń Androida.

Póki co Google nie ma zadowalającej ochrony przed tym atakiem.Luka została zgłoszona firmie z Mountain View w lipcu, otrzymującnatychmiast status „krytycznej” i przynosząc odkrywcom całe 4tysiące dolarów nagrody. Google powiadomiło następnie swoichsprzętowych partnerów i przygotowało łatkę, która czyni ataktrudniejszym do przeprowadzenia – ograniczając aplikacjom dostępdo pamięci wykorzystywanej przez kernel. Badacze twierdzą jednak,że to tymczasowe rozwiązanie, exploit będzie trudniejszy, ale nieniemożliwy.

Aplikacji testowej Drammer nie znajdziecie w Google Play. Firma z Mountain View zareagowała na jej pojawienie się dość paranoicznie i w ostatniej chwili nakazano usunięcie jej z oficjalnego sklepu Androida. Nic nie szkodzi, pobierzecie ją z naszej bazy oprogramowania.