GP TEE之安全威胁分析

PP所指的威胁是指用户端阶段产生的，通过软件途径实现的威胁。攻击者是个人或者组织远程或本地访问设备的TEE。当TEE拥有第三方案商的资产设备也会变成了潜在的攻击者。攻击背后的动机是多样的，大体上与TEE上运行的TA相关。举例来说，一个攻击者可能试图偷取设备拥有者的内容(比如存储在手机中的密码)或者第三方服务提供商的内容；或者不正当的获取TEE或TA服务（比如在某个设备上或在其他设备上访问公司网络或者非认证方式使用DRM内容）；或者威胁设备/TEE生产商或服务提供商。攻击带来的影响不只是不止决定于对单个资产的攻击所，在许多情况下，很有可能以较低代价快速复制攻击，在某个TEE设备上的单个的攻击产生的影响远远比不上大量攻击同时攻击大量设备。

GPTEE PP之安全资产分析，请参考之前公众号内容：

GP TEE安全资产问题分析

本PP聚焦于非毁灭性软件攻击，容易被广泛传播的，举个例子来说通过互联网、组成一个特权向量在不损害设备本身情况下，取得TEE的非法访问权，在许多情况下，一个软件攻击最少牵涉到2个攻击者：在认证阶段发现许多漏洞、设计恶意代码并分发的攻击者，在使用阶段通过运行有效运用漏洞恶意软件的攻击者（代表用户身份的终端用户或者远程攻击者）。在没有兴趣或者没有可能性大规模扩散的攻击的情况下下，这两类攻击者可能是同一个人。

实际上，不同的设备管理和部署模型，比如说服务，产生不同的安全威胁模型。在工业环境下使用的设备，由于服务的安装被严格控制，终端用户去破坏这些服务没有任何价值，攻击模型主要是着眼与总体软件攻击和漏洞。实际上本身不太容易被复制成大范围访问同类设备的攻击是不可预知的。对于非管理型的个人设备，攻击很有可能被扩散，由于一方面，设备分布广泛，另一方面，终端用户本身也可能参与到扩散攻击中来，因此，在分析此类无管理设备攻击关键是要将认证阶段和使用阶段分开。

按照设备使用的不同方式，考虑到认证阶段对于攻击者不同手段都是可行的，软件或者硬件的，不同的假设可能是有效的，由于可能用于不止一个设备，当认证和使用阶段隔离，在一个潜在的破坏方式下，面对非管理型设备时，一个攻击非常容易被广泛传播，攻击者在认证阶也许有软件或软件经验，能通过示波器、协议分析仪，电路仿真器或者JTAG仿真器，使攻击者在PCB上操作模块接口操作。但是，不希望可能在深层次的模块和SOC是有效的攻击能够施行。

当认证和使用隔离开，在使用阶段，两类重要的攻击者隐蔽行动可能会上升：

远程攻击者：此种攻击方式通过远程控制设备或者选择一个对终端用户非常方便易于下载的工具来实施攻击。攻击者在认证阶段恢复和输出认证的弱点细节，攻击认证器提供的代码和可执行文件。攻击者然后设计一个远程工具或者恶意软件，通过病毒或者选择因特网上友好的工具，用网络钓鱼的方式使其被下载和执行。注意到设计新的恶意软件、特洛伊木马、病毒或者root工具往往是在一个已经存在的可用网络基础版本。

基础设备攻击者：此种攻击方式攻击者为了某种利益是终端用户或者某个人，有物理途径访问目标设备，攻击者从认证器、网上的指导手册来获取攻击代码或应用研究如何实施攻击，下载使用工具来对设备进行越狱、root、刷机，以此获得优先访问REE端，使攻击得以执行。攻击者可以是门外汉或者有一定经验，因为攻击行为不需要特别的设备。

文章翻译整理来自GP文档。