Ymchwilwyr o Grŵp NCC gwendidau () mewn sglodion Qualcomm, sy'n eich galluogi i bennu cynnwys allweddi amgryptio preifat sydd wedi'u lleoli mewn amgryptio ynysig Qualcomm QSEE (Amgylchedd Cyflawni Diogel Qualcomm), yn seiliedig ar dechnoleg ARM TrustZone. Mae'r broblem yn amlygu ei hun yn Snapdragon SoC, sydd wedi dod yn eang mewn ffonau smart yn seiliedig ar y platfform Android. Mae'r atebion sy'n datrys y broblem eisoes yn y diweddariad Android Ebrill a datganiadau cadarnwedd newydd ar gyfer sglodion Qualcomm. Cymerodd fwy na blwyddyn i Qualcomm baratoi atgyweiriad; anfonwyd gwybodaeth am y bregusrwydd i Qualcomm i ddechrau ar Fawrth 19, 2018.
Gadewch inni gofio bod technoleg ARM TrustZone yn caniatáu ichi greu amgylcheddau gwarchodedig wedi'u hynysu â chaledwedd sydd wedi'u gwahanu'n llwyr o'r brif system a'u rhedeg ar brosesydd rhithwir ar wahân gan ddefnyddio system weithredu arbenigol ar wahân. Prif bwrpas TrustZone yw darparu gweithrediad ynysig o broseswyr ar gyfer allweddi amgryptio, dilysu biometrig, data talu a gwybodaeth gyfrinachol arall. Mae rhyngweithio â'r prif OS yn cael ei wneud yn anuniongyrchol trwy'r rhyngwyneb anfon. Mae allweddi amgryptio preifat yn cael eu storio y tu mewn i storfa allweddi wedi'i ynysu â chaledwedd, a all, o'i gweithredu'n iawn, atal eu gollwng os yw'r system sylfaenol yn cael ei pheryglu.
Mae'r bregusrwydd oherwydd diffyg yng ngweithrediad yr algorithm prosesu cromlin eliptig, a arweiniodd at ollwng gwybodaeth am gynnydd prosesu data. Mae ymchwilwyr wedi datblygu techneg ymosod sianel ochr sy'n caniatáu defnyddio gollyngiadau anuniongyrchol presennol i adennill cynnwys allweddi preifat sydd wedi'u lleoli mewn offer sy'n cael ei ynysu gan galedwedd. . Pennir gollyngiadau yn seiliedig ar ddadansoddiad o weithgaredd y bloc rhagfynegi cangen a newidiadau yn yr amser mynediad at ddata yn y cof. Yn yr arbrawf, dangosodd yr ymchwilwyr yn llwyddiannus adferiad allweddi ECDSA 224- a 256-bit o'r storfa allweddi ynysu caledwedd a ddefnyddir yn y ffôn clyfar Nexus 5X. Roedd angen i adennill yr allwedd gynhyrchu tua 12 mil o lofnodion digidol, a gymerodd fwy na 14 awr. Offer a ddefnyddir i gyflawni'r ymosodiad .
Prif achos y broblem yw rhannu cydrannau caledwedd cyffredin a storfa ar gyfer cyfrifiadau yn yr TrustZone ac yn y brif system - mae ynysu yn cael ei berfformio ar lefel y gwahaniad rhesymegol, ond gan ddefnyddio unedau cyfrifiadurol cyffredin a chydag olion cyfrifiadau a gwybodaeth am gangen cyfeiriadau yn cael eu hadneuo yn y storfa prosesydd cyffredin. Gan ddefnyddio'r dull Prime+Probe, yn seiliedig ar asesu newidiadau mewn amser mynediad i wybodaeth wedi'i storio, mae'n bosibl, trwy wirio presenoldeb patrymau penodol yn y storfa, i fonitro llif data ac arwyddion o weithredu cod sy'n gysylltiedig â chyfrifo llofnodion digidol yn TrustZone gyda chywirdeb eithaf uchel.
Mae'r rhan fwyaf o'r amser i gynhyrchu llofnod digidol gan ddefnyddio allweddi ECDSA mewn sglodion Qualcomm yn cael ei dreulio'n perfformio gweithrediadau lluosi mewn dolen gan ddefnyddio fector cychwyn sydd heb ei newid ar gyfer pob llofnod (). Os gall yr ymosodwr adennill o leiaf ychydig o ddarnau gyda gwybodaeth am y fector hwn, mae'n dod yn bosibl cynnal ymosodiad i adennill yr allwedd breifat gyfan yn olynol.
Yn achos Qualcomm, nodwyd dau le lle gollyngwyd gwybodaeth o'r fath yn yr algorithm lluosi: wrth berfformio gweithrediadau chwilio mewn tablau ac yn y cod adalw data amodol yn seiliedig ar werth y did olaf yn y fector “nonce”. Er gwaethaf y ffaith bod cod Qualcomm yn cynnwys mesurau i wrthweithio gollyngiadau gwybodaeth trwy sianeli trydydd parti, mae'r dull ymosod datblygedig yn caniatáu ichi osgoi'r mesurau hyn a phennu sawl darn o'r gwerth “nonce”, sy'n ddigon i adennill allweddi ECDSA 256-did.
Ffynhonnell: opennet.ru