電源管理系統存在安全漏洞,黑客可遠程攻擊
E安全8月23日訊 最近的USENIX Security Symposium會議上,來自哥倫比亞大學一支專家團隊展示了一種新型攻擊方法「CLKscrew」,攻擊者可利用現代計算設備電源管理系統(Energy Management System)中的漏洞實施遠程攻擊,並竊取敏感數據。
移動設備電源更應警惕
電源管理是現代計算機中的一項重要功能,尤其移動設備。電源管理有助於延長電池壽命,提高便捷性並降低成本,然而設計此類系統並非易事一樁,其中的功效與安全性往往會被忽略。
專家將ARMv7架構作為研究對象,使用了一款Nexus 6智能手機試驗後專家表示,CLKscrew攻擊可能也會對其它設備和架構奏效。研究人員分析的電源管理系統使用的是應用廣泛的動態電壓頻率調整(DVFS)技術。
CLKscrew攻擊展示了遠程黑客如何將惡意內核驅動載入到目標設備,利用DVFS中的安全漏洞入侵ARM Trustzone(ARM信任區)。
專家演示了攻擊者如何使用這種方法提取ARM Trustzone的加密密鑰,並將自簽名代碼載入到信任區提升特權。
研究人員認為這類攻擊比物理訪問設備更有效,因為這類攻擊可遠程實現,並能繞過物理攻擊的諸多要求和限制。
設計缺陷研究人員在研究報告中寫到,CLKscrew攻擊只是冰山一角,電源優化技術中可能存在更多安全漏洞,例如電壓與頻率島的分散式控制、近閾值/亞閾值優化等。
研究人員指出,分析表明簡單、單一、零散的修復方式無法完全防止CLKscrew式的攻擊。許多設計決定可能會帶來攻擊風險,換句話講,根本原因不是具體的硬體或軟體漏洞,而是一系列經過深思熟慮、但缺乏安全考量的設計決策。
※區塊鏈通過改革網路安全三種方式
※報告:10%的英國頂尖企業未制定網路響應計劃
※美網路司令部升級為第十個聯合作戰司令部,與NSA拆分將大勢所趨?
※調查報告:網路釣魚仍是組織機構面臨的最大威脅
TAG:E安全 |
※黑客可利用安全漏洞控制電動汽車充電站
※小米電動滑板車存在安全漏洞,易受黑客遠程劫持
※最新研究:大眾奧迪車載信息娛樂系統存安全漏洞,易被遠程黑客侵入
※羅技應用程序安全漏洞允許擊鍵注入攻擊
※容易被忽略的安全漏洞——明文存儲
※漏洞頻發?聯想指紋掃描管理軟體現安全漏洞
※智能門鎖來勢洶洶,安全保障問題重重,果加公寓版智能門鎖被爆安全漏洞!
※大眾奧迪車載信息娛樂系統存安全漏洞 恢復出廠設置或成唯一途徑
※安全漏洞頻現?用機器黑客保障網路安全,實現機器的自我突破
※AMD處理器存在嚴重安全漏洞?官方迅速回應:我們可能被坑了
※安全永無止境:DAO黑客和區塊鏈安全漏洞
※信息安全漏洞高發 工業控制系統「裸奔」上網
※特斯拉門鎖存在安全漏洞 黑客盜取汽車只需數秒鐘
※路由器操作系統曝安全漏洞 允許攻擊者執行任意代碼
※PSN存在致命安全漏洞,用戶綁定信用卡可能被盜刷
※惠普遠程管理工具iLO3曝安全漏洞 致伺服器易遭受DoS攻擊
※注意!藍牙存在致命安全漏洞 蘋果已著手修復
※AMD回應處理器不受新安全漏洞影響
※外媒曝一國產品牌掃地機器人存在安全漏洞
※國家工業信息安全漏洞庫上線