新的RAMpage漏洞使Rowhammer可攻击安卓根设备

在2016年底，谷歌的安全团队争先恐后地修复了一个允许攻击者通过使用一种相对较新的漏洞来获取对Android设备的不受限制的root访问权限的可以操纵存储在内存芯片中的数据的关键漏洞。

现在，21个月后，许多同样的研究人员说大量的Android手机和平板电脑仍然容易受到root攻击，因为谷歌部署的补丁并不足够。

Drammer和新公开的RAMpage攻击都利用了Rowhammer漏洞，这是一种通过重复访问存储单元的内部行来改变存储在芯片中的数据的漏洞。通过每秒“撞击”行数千次，该技术使位翻转，这意味着会将存储在其中的单个位中的0变为1，反之亦然。

针对PC的最初的Rowhammer攻击使得不受信任的计算机应用程序可以获得几乎不受限制的系统权限或绕过旨在防止恶意代码访问敏感操作系统资源的安全沙箱。后来的变体允许恶意软件在网站上托管的JavaScript实现相同的安全敏感位翻能力。

基于Android的Drammer攻击表明，Rowhammer攻击可能会对更广泛的设备产生深远的影响，包括那些运行ARM芯片的设备。该漏洞打开了这样一种可能性，即构成合法软件的应用程序可能同样会偷偷摸摸地觊觎设备根设备，并且在此过程中，Android内置的中性密钥安全防御措施会阻止此应用程序访问属于操作系统或其他运行的应用程序的密码或其他敏感数据。

在Drammer披露之后的几个月里，谷歌通过改变Android的ION内存管理器来减轻恶意应用程序对安卓设备可能造成的损害，这限制了恶意应用对物理连续内核内存的访问。

还不够好

“通过RAMpage，我们证明谷歌部署的软件补丁不够好，”维多利亚大学阿姆斯特丹教授Victor van der Veen帮助设计针对了Drammer和RAMpage漏洞的补丁，他在一封电子邮件中写道。

“再次以连续堆为例，我们发现你仍然可以通过使用分配器获得物理上连续的内存。通过分配和释放内存块，我们可以对物理内存进行“碎片整理”，释放大洞。如果我们再分配一个大块，那么获得连续内存的机会就会增加，我们可以通过使用现有的边通道来确认这一点。“

在上周三发布的一篇博客文章中，范德维恩和他的同事表示，“LPDDR2，LPDDR3或LPDDR4内存附带的每个[基于Android的]移动设备都可能受到[RAMpage]的影响，“在一封电子邮件中，他说他和他的同事已成功实现了对附带LPDDR3的Nexus 5设备的渗透，带有LPDDR2的Nexus 4和带有LPDDR4的Google Pixel 1的位翻转，但他们并没有做到这一点。

“这就是为什么我们声明每个带有LPDDR2，LPDDR3或LPDDR4的移动设备都可能受到影响的原因：我们已经看到所有这些类型内存附带的设备翻转，但我们也看到有些设备没有任何位翻转，”van der Veen在电子邮件中解释。“一个例子是Google Pixel：在我们购买的三款设备中，我们只能翻转其中两款设备内存中的位数据。”

想要测试其设备是否易受攻击的人可以下载此测试应用。它需要更改默认的Android设置，以允许从非Google Play来源“加载”程序。RAMpage错误已编入索引为CVE-2018-9442。

在周三发表的一篇研究论文中，研究人员介绍了他们称之为GuardION的补救措施，他们将其描述为针对RAMpage和大多数其他基于Android的Rowhammer攻击的实用且轻量级的防御措施。研究人员表示谷歌的工程师尚未实施它，因为他们“得出结论，Guardion在实际应用程序中产生的'性能开销'比我们在报告中报道的要多。”研究人员称他们正在与谷歌合作寻找减少内存开销的方法。

不大规模的漏洞利用

Van der Veen还表示，利用RAMpage的难度使得攻击者不太可能在Google Play的市场上发布应用程序。一个复杂因素：根据型号，行大小可能是32KB，64KB，128KB或其他可能的大小。这些变化会改变攻击者必须对目标行进行锤击的方式。另一个使大规模开发复杂化的因素是每个制造商实施ION的方式的细微差别。不过，该研究人员表示，他认为RAMpage可能会在针对单个个人或组织的攻击中被利用。

谷歌官员在一份声明中写道：

我们与Vrije Universiteit的团队密切合作，虽然这个漏洞对于绝大多数用户来说并不是一个实际问题，但我们非常感谢他们在保护并推进安全研究领域的贡献。虽然我们认识到研究人员对概念的理论证明，但我们并未发现任何针对Android设备的攻击。

谷歌发言人还表示，许多新设备都包含具有Rowhammer特定保护功能的内存。该发言人还表示，研究人员的概念验证漏洞不适用于任何目前支持的谷歌Android设备。

虽然RAMpage可能并不代表对大多数Android用户的实际威胁，但值得记住的是“ 攻击总是变得更好[并且永远不会变得更糟”。

这个漏洞也是内存芯片制造商必须设计的对Rowhammer的全面防御的最新提醒。