Група даследнікаў з Амстэрдамскага вольнага ўніверсітэта, Швейцарскай вышэйшай тэхнічнай школы Цюрыха і кампаніі Qualcomm даследаванне эфектыўнасці прымяняецца ў сучасных чыпах памяці DDR4 абароны ад нападаў класа , якія дазваляюць змяніць змесціва асобных бітаў дынамічнай аператыўнай памяці (DRAM). Вынікі аказаліся несуцяшальнымі і чыпы DDR4 асноўных вытворцаў па-ранейшаму уразлівыя ().
Уразлівасць RowHammer дазваляе сказіць змесціва асобных бітаў памяці шляхам цыклічнага чытання дадзеных з суседніх ячэек памяці. Бо памяць DRAM уяўляе сабою двухмерны масіў вочак, кожная з якіх складаецца з кандэнсатара і транзістара, выкананне бесперапыннага чытання адной і той жа вобласці памяці прыводзіць да флуктуацыі напругі і анамаліям, выклікалым невялікую страту зарада суседніх вочак. Калі інтэнсіўнасць чытання досыць вялікая, то вочка можа страціць досыць вялікі аб'ём зарада і чарговы цыкл рэгенерацыі не паспее аднавіць яе першапачатковы стан, што прывядзе да змены значэння захаваных у вочку дадзеных.
Для блакавання падобнага эфекту ў сучасных чыпах DDR4 ужываецца тэхналогія TRR (Target Row Refresh), прызначаная для прадухілення скажэння вочак пры правядзенні нападу RowHammer. Праблема ў тым, што няма адзінага падыходу да рэалізацыі TRR і кожны вытворца CPU і памяці тлумачыць TRR па сваім, ужывае ўласныя варыянты абароны і не расчыняе дэталі рэалізацыі.
Вывучэнне прымяняюцца вытворцамі метадаў блакавання RowHammer дазволіла лёгка знайсці шляхі абыходу абароны. Пры праверцы аказалася, што практыкуемы вытворцамі прынцып. (security by obscurity) пры рэалізацыі TRR дапамагае толькі для абароны ў дзелях выпадках, якія ахопліваюць тыпавыя напады, якія маніпулююць зменай зарада вочак у адной ідзі двух суседніх радках.
Распрацаваная даследнікамі ўтыліта дазваляе праверыць схільнасць чыпаў шматбаковым варыянтам нападу RowHammer, у якіх спроба ўплыву на зарад вырабляецца адразу для некалькіх радкоў вочак памяці. Падобныя напады дазваляюць абыйсці рэалізаваную некаторымі вытворцамі абарону TRR і прыводзяць да скажэння бітаў памяці нават на новым абсталяванні з памяццю DDR4.
З 42 вывучаных DIMM-модуляў 13 модуляў апынуліся ўразлівыя для нестандартных варыянтаў правядзення нападу RowHammer, нягледзячы на заяўленую абарону. Праблемныя модулі выпушчаны вытворцамі SK Hynix, Micron і Samsung, прадукцыя якіх 95% рынка DRAM.
Акрамя DDR4, былі вывучаныя і ўжывальныя ў мабільных устойлівасцях чыпы LPDDR4, якія таксама апынуліся адчувальныя для пашыраных варыянтаў нападу RowHammer. У прыватнасці, праблеме апынулася схільная памяць, якая прымяняецца ў смартфонах Google Pixel, Google Pixel 3, LG G7, OnePlus 7 і Samsung Galaxy S10.
Даследнікі змаглі прайграць на праблемных чыпах DDR4 некалькі тэхнік эксплуатацыі. Напрыклад, ужыванне RowHammer- для PTE (Page Table Entries) запатрабавала для атрымання прывілею ядра правядзення нападу на працягу ад 2.3 секунд да трох гадзін пятнаццаці секунд, у залежнасці ад тэстоўваных чыпаў. па пашкоджанні які захоўваецца ў памяці адкрытага ключа RSA-2048 заняла ад 74.6 секунд да 39 хвілін 28 секунд. на абыход праверкі паўнамоцтваў праз мадыфікацыю памяці працэсу sudo заняла 54 хвіліны 16 секунд.
Для праверкі ужывальных карыстачамі чыпаў памяці DDR4 апублікаваная ўтыліта . Для паспяховага правядзення нападу патрабуецца інфармацыя аб ужывальнай у кантролеры памяці раскладцы фізічных адрасоў у прывязцы да слоікаў і радкам вочак памяці. Для вызначэння раскладкі дадаткова распрацавана ўтыліта , Якая патрабуе запуску з правамі root. У бліжэйшы час таксама апублікаваць прыкладанне для тэсціравання памяці смартфонаў.
кампаніі и параілі для абароны выкарыстоўваць памяць з карэкцыяй памылак (ECC), кантролеры памяці з падтрымкай Maximum Activate Count (MAC) і прымяняць павышаную частату рэгенерацыі. Даследнікі ж мяркуюць, што для ўжо выпушчаных чыпаў адсутнічае рашэнне для гарантаванай абароны ад Rowhammer, а прымяненне ECC і павелічэнне частаты рэгенерацыі памяці аказаліся неэфектыўныя. Напрыклад, раней ужо быў прапанаваны напады на DRAM-памяць у абыход абароны ECC, а таксама паказана магчымасць здзяйснення нападу на DRAM праз , з и запуску JavaScript у браўзэры.
Крыніца: opennet.ru