Tým výzkumníků z Vrije Universiteit Amsterdam, ETH Zurich a Qualcomm studie účinnosti ochrany proti třídním útokům používaných v moderních paměťových čipech DDR4 , umožňující měnit obsah jednotlivých bitů dynamické paměti s náhodným přístupem (DRAM). Výsledky byly zklamáním a čipy DDR4 od velkých výrobců jsou stále zranitelný ().
Zranitelnost RowHammer umožňuje poškození obsahu jednotlivých paměťových bitů cyklickým čtením dat ze sousedních paměťových buněk. Protože paměť DRAM je dvourozměrné pole buněk, z nichž každá se skládá z kondenzátoru a tranzistoru, provádění nepřetržitého čtení stejné oblasti paměti má za následek kolísání napětí a anomálie, které způsobují malou ztrátu náboje v sousedních článcích. Pokud je intenzita čtení dostatečně vysoká, pak může článek ztratit dostatečně velké množství náboje a další regenerační cyklus nestihne obnovit svůj původní stav, což povede ke změně hodnoty dat uložených v článku. .
K zablokování tohoto efektu využívají moderní čipy DDR4 technologii TRR (Target Row Refresh), která má zabránit poškození buněk během útoku RowHammer. Problém je v tom, že neexistuje jednotný přístup k implementaci TRR a každý výrobce CPU a pamětí interpretuje TRR po svém, aplikuje své vlastní možnosti ochrany a nezveřejňuje detaily implementace.
Studium metod blokování RowHammer používaných výrobci usnadnilo nalezení způsobů, jak ochranu obejít. Při kontrole se ukázalo, že zásada praktikovaná výrobci „ (security by obscurity) při implementaci TRR pomáhá pouze k ochraně ve speciálních případech, pokrývající typické útoky manipulující změny v náboji buněk v jedné nebo dvou sousedních řadách.
Utilita vyvinutá výzkumníky umožňuje zkontrolovat náchylnost čipů k mnohostranným variantám útoku RowHammer, při kterém se pokusí ovlivnit náboj pro několik řad paměťových buněk najednou. Takové útoky mohou obejít ochranu TRR implementovanou některými výrobci a vést k poškození bitů paměti, a to i na novém hardwaru s pamětí DDR4.
Ze 42 studovaných DIMM se 13 modulů ukázalo jako zranitelných vůči nestandardním variantám útoku RowHammer, a to i přes deklarovanou ochranu. Problematické moduly vyráběly SK Hynix, Micron a Samsung, jejichž produkty 95 % trhu DRAM.
Kromě DDR4 byly studovány také čipy LPDDR4 používané v mobilních zařízeních, které se rovněž ukázaly jako citlivé na pokročilé varianty útoku RowHammer. Problémem byla postižena zejména paměť používaná v chytrých telefonech Google Pixel, Google Pixel 3, LG G7, OnePlus 7 a Samsung Galaxy S10.
Výzkumníci byli schopni reprodukovat několik technik využití na problematických čipech DDR4. Například pomocí RowHammer- pro PTE (Page Table Entries) trvalo získání oprávnění jádra od 2.3 sekundy do tří hodin a patnácti sekund, v závislosti na testovaných čipech. poškození veřejného klíče uloženého v paměti trvalo RSA-2048 od 74.6 sekund do 39 minut 28 sekund. trvalo 54 minut a 16 sekund, než se obešla kontrola přihlašovacích údajů prostřednictvím úpravy paměti procesu sudo.
Byl zveřejněn nástroj pro kontrolu paměťových čipů DDR4 používaných uživateli . Pro úspěšné provedení útoku je zapotřebí informace o rozložení fyzických adres použitých v paměťovém řadiči ve vztahu k bankám a řadám paměťových buněk. Dodatečně byl vyvinut nástroj pro určení rozvržení , který vyžaduje spuštění jako root. V blízké budoucnosti také publikovat aplikaci pro testování paměti smartphonu.
Společnosti и Pro ochranu doporučili používat paměť pro opravu chyb (ECC), paměťové řadiče s podporou Maximum Activate Count (MAC) a používat zvýšenou obnovovací frekvenci. Vědci se domnívají, že pro již vydané čipy neexistuje řešení pro zaručenou ochranu před Rowhammerem a použití ECC a zvýšení frekvence regenerace paměti se ukázalo jako neúčinné. Například to bylo dříve navrženo útoky na paměť DRAM obcházejí ochranu ECC a také ukazuje možnost napadení DRAM skrz z и spuštění JavaScriptu v prohlížeči.
Zdroj: opennet.ru