黑客利用內存設計漏洞 兩分鐘就能取得手機許可權

在2016年曾披露存在於動態隨機訪問內存（DRAM）之Rowhammer漏洞的阿姆斯特丹自由大學（Vrije Universiteit Amsterdam）漏洞安全實驗室VUSec Lab於本周再度披露攻擊Rowhammer的新途徑，這次該實驗室利用了GPU與瀏覽器標準之一的WebGL，於兩分鐘就取得了Android手機許可權，並將其命名為GLitch攻擊。

Rowhammer被視為DRAM的設計漏洞，現今的內存為了擴大容量並維持其尺寸，記憶元（Cell）的密度也越來越高。因此，當黑客鎖定所要攻擊的內存列時，只要重複訪問隔壁列的記憶元，就會造成內存控制電路的電壓波動，影響目標內存列，造成比特翻轉現象，例如1變成0或0變成1，黑客只要依照需求持續變更內存內的比特，最終將可操控操作系統數據並取得最高許可權。

GLitch是由兩項攻擊所組成，先利用旁路攻擊（side channel）來判斷內存的布局，再執行可翻轉比特的Rowhammer攻擊。

整個惡意攻擊的場景是黑客先設計一個惡意網站，誘導Android手機以Firefox或Chrome瀏覽器訪問該站，自遠程執行JavaScript，就能開採Rowhammer漏洞，取得系統最高許可權。

VUSec Lab說明，執行Rowhammer攻擊需要訪問閑置內存，因此必須先繞過處理器緩存才能到達DRAM，但此法並不適用於JavaScript，要以JavaScript展開攻擊只能剔除緩存，與CPU的隨機緩存相較，GPU緩存有更明確的行為，也更容易剔除緩存，因此在GLitch攻擊中，他們以GPU取代CPU作為攻擊跳板。

美國政府計算機緊急應變中心US-CERT則指出，GLitch攻擊只在由CPU與GPU共享內存的平台上才有效用，諸如智能手機或平板電腦等。

至於WebGL則是一個圖像API，為瀏覽器的標準組件之一，主要提供圖像密集應用的GPU加速功能，但它的副作用是在GLitch攻擊中，可協助黑客判斷內存的緩存分布。

GLitch攻擊不但是全球首個將GPU應用在Rowhammer攻擊的案例，也是首個以JavaScript就可取得手機許可權的攻擊途徑，且平均而言只要2分鐘就能攻陷一支智能手機。

VUSec Lab是在執行Android 6.0.1的LG Nexus 5上並使用Firefox 57來示範攻擊。不過，GLitch攻擊同樣也適用於HTC One M8與LG G2等採用Snapdragon 800與801的移動設備上。在VUSec Lab的通報下，Google與Mozilla皆已變更了Chrome及Firefox瀏覽器上的WebGL功能以杜絕GLitch攻擊。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！