多個主流安卓手機晶元廠商的Bootloader存在漏洞

E安全9月6日訊 眾多安全專家認為，即使操作系統遭遇攻擊，智能手機Bootloader固件應當尚是安全的。然而，美國加州大學聖塔芭芭拉分校一組研究人員發現知名晶元廠商的安卓Bootloader組件存在六大漏洞，會將設備置於危險之中。

BootStomp工具自動檢測安全漏洞

研究人員開發了一款工具「BootStomp」，用來自動檢測Bootloader中存在的安全漏洞。

Bootloader（百度百科）：當設備開啟時，Bootloader主要負責正確調用內核來載入操作系統。Bootloader是嵌入式系統在加電後執行的第一段代碼，在它完成CPU和相關硬體的初始化之後，再將操作系統映像或固化的嵌入式應用程序裝在到內存中然後跳轉到操作系統所在的空間，啟動操作系統運行。

分析四大晶元組廠商（包括高通、聯發科技、英偉達和華為）的Bootloader組件代碼後，研究人員在兩個Bootloader中發現6個0Day漏洞。並且高通Bootloader中存在一個已知拒絕服務漏洞（CVE-2014-9798），影響了舊版的高通Bootloader。另外5個漏洞屬於新漏洞，並已獲得這幾大廠商證實。其中一個影響了英偉達Bootloader，另外的影響了華為安卓Bootloader。

研究人員指出，由於Bootloader屬於閉源，且往往缺乏程序頭等典型元數據（元數據一般存在於合法程序中，協助進行逆向分析和安全審計），因此難以逆向分析和安全審計，解刨Bootloader就不那麼容易了。然而，BootStomp克服了這些問題。

研究人員解釋稱，BootStomp的目標是自動識別與濫用/使用攻擊者控制的非易失性存儲器、受Bootloader信任相關的安全漏洞。

研究人員指出，他們將系統設想為自動系統，將Bootloader作為輸入，輸出安全漏洞的警報，之後，分析師便能分析這些警報，快速判斷突出功能是否存在安全威脅。

確保Bootloader的完整性對谷歌Verified Boot和ARM的Trusted Boot至關重要， Bootloader在其中負責核實完整性，創建所謂的「信任鏈」。如果有人篡改Bootloader組件，內核、文件系統映像或設備應無法使用。

研究人員指出，該過程應是相當嚴格的，即使安卓操作系統被黑，該過程也能阻止Bootloader被攻擊。然而，硬體廠商為了滿足產品需求，在Bootloader中增加了靈活性。

藉助BootStomp，研究人員在bootload流程發現中36個潛在威脅，其中超過三分之一為漏洞。

BootStomp概述

研究人員指出，攻擊者可利用其中部分漏洞獲取安卓操作系統的Root許可權，充當Bootloader的部分功能執行任意代碼。這樣一來，整個信任鏈都會遭受攻擊，攻擊者能實現惡意操作，例如訪問信任區內的代碼和存儲，並執行永久的拒絕服務攻擊，例如將設備變板磚。

研究人員還表示，BootStomp還發現攻擊者可獲取操作系統上的Root許可權解鎖兩款Bootloader。

研究人員選擇了四個廠商的五個bootloader來研究：

• 華為/海思晶元組（華為P8 ALE-L23）

• 聯發科技晶元組（索尼Xperia XA）

• 英偉達Tegra晶元組（Nexus 9）

• 高通的新LK Bootloader

• 高通的舊LK Bootloader

研究人員還指出，華為Bootloader的設計使得漏洞「相當嚴重」，一旦被攻擊者利用可打破信任鏈，長期潛伏在設備中，且不易被用戶發現。

緩解措施

由於現代設備的複雜性，要完全糾正Bootloader的漏洞相當困難，但採取以下幾步措施能顯著減少攻擊面。

Trusted Boot和Verified Boot的目標是防止惡意軟體持續影響操作系統和固件的完整性。研究人員發現的這些攻擊依賴攻擊者寫入到非易失性存儲器分區的能力。研究人員建議使用大多數現代設備中的硬體功能移除這項能力。

谷歌採用Verified Boot將設備的安全狀態（包括鎖定/解鎖位元組）與加密和解密用戶數據的密鑰生成綁定。雖然沒有特別要求安全狀態的特定存儲，但這樣可以確定安全狀態是否發生變化，用戶數據不為攻擊者所用，如果不恢復出廠設置，系統將無法引導（boot）。這種方法，再加上Verified Boot要求的加密驗證，雖然無法讓Bootloader完全屏蔽掉攻擊者的任意輸入，但能驗證分區或檢查安全狀態。

大多數現在移動設備利用非易失性存儲器滿足eMMC規範。eMMC規定了操作系統用來讀取、編寫數據、管理分區以及納入硬體安全功能的一組命令。自2009年發布版本4.4之後，eMMC支持Power-on Write-Lock，允許對個別分區進行選擇性防寫，並且只在設備重啟時禁用。eMMC Power-on Write-Lock能防止Bootloader必讀分區被獲取Root許可權的攻擊者控制。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！