События

Android-устройства можно взломать, откатив обновление TrustZone

Исследователи из Университета штата Флорида и Baidu X-Lab обнаружили уязвимость в технологии ARM TrustZone, широко используемой в большинстве современных Android-устройств.

Технология ARM TrustZone - это однокристальная система (SoC), являющаяся защищенной областью главного процессора. Специальный раздел ядра Android имеет собственную операционную систему - TrustZone OS, которая работает отдельно от Android OS.

Задача TrustZone - создать безопасную зону, в которой ОС Android сможет выполнять наиболее важные операции, например, операции по обработке зашифрованных данных. Внутри TrustZone OS такие операции выполняются как специальные приложения под названием trustlets.

Когда TrustZone OS загружает trustlet, она сначала проверяет криптографическую цифровую подпись приложения. Исследователи обнаружили, что злоумышленник может откатить операционную систему до более старых версий, которые уязвимы для различных эксплойтов. Злоумышленники могут использовать старую пару криптографических ключей для замены trustlet более старыми версиями, при этом TrustZone OS не заметит подмены.

Для наглядности, исследователи провели эксперимент на устройствах с технологией ARM TrustZone, таких как Samsung Galaxy S7, Huawei Mate 9, Google Nexus 5 и Google Nexus 6. Ученые заменили обновленные версии плагина Widevine более старой версией, которая была уязвима к CVE-2015-6639. Эта уязвимость позволяет злоумышленникам получить root-доступ к системе TrustZone.

Потенциальная возможность взлома TrustZone представляет угрозу практически для всех Android-устройств, говорят исследователи. Тем не менее описанная исследователями техника взлома относительно сложна в исполнении. В то же время Google хорошо осведомлена о данной проблеме. Компания готова заплатить до 200 000 долларов за эксплойты для удаленной компрометации TrustZone.

С отчетом исследователей можно ознакомиться здесь .

Источник

Автор: Сергей Куприянов
13.09.2017 (03:39)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.