Skupina raziskovalcev z Vrije Universiteit Amsterdam, ETH Zurich in Qualcomm študija učinkovitosti zaščite pred razrednimi napadi, ki se uporablja v sodobnih pomnilniških čipih DDR4 , ki vam omogoča spreminjanje vsebine posameznih bitov dinamičnega pomnilnika z naključnim dostopom (DRAM). Rezultati so bili razočarajoči, čipi DDR4 večjih proizvajalcev pa so še vedno ranljiv ().
Ranljivost RowHammer omogoča, da se vsebina posameznih pomnilniških bitov pokvari s cikličnim branjem podatkov iz sosednjih pomnilniških celic. Ker je pomnilnik DRAM dvodimenzionalni niz celic, od katerih je vsaka sestavljena iz kondenzatorja in tranzistorja, neprekinjeno branje iste pomnilniške regije povzroči nihanje napetosti in anomalije, ki povzročijo majhno izgubo naboja v sosednjih celicah. Če je intenzivnost odčitavanja dovolj visoka, lahko celica izgubi dovolj veliko količino naboja in naslednji cikel regeneracije ne bo imel časa obnoviti prvotnega stanja, kar bo povzročilo spremembo vrednosti podatkov, shranjenih v celici. .
Za blokiranje tega učinka sodobni čipi DDR4 uporabljajo tehnologijo TRR (Target Row Refresh), ki je zasnovana tako, da preprečuje poškodbe celic med napadom RowHammer. Težava je v tem, da ni enotnega pristopa k implementaciji TRR in vsak proizvajalec CPE in pomnilnika interpretira TRR na svoj način, uporablja svoje možnosti zaščite in ne razkriva podrobnosti implementacije.
Preučevanje metod blokiranja RowHammer, ki jih uporabljajo proizvajalci, je olajšalo iskanje načinov za obhod zaščite. Pri pregledu se je izkazalo, da je načelo, ki ga izvajajo proizvajalci " (security by obscurity) pri izvajanju TRR pomaga le pri zaščiti v posebnih primerih, ki zajemajo tipične napade, ki manipulirajo s spremembami napolnjenosti celic v eni ali dveh sosednjih vrstah.
Pripomoček, ki so ga razvili raziskovalci, omogoča preverjanje dovzetnosti čipov za večstranske različice napada RowHammer, pri katerem se poskuša vplivati na naboj za več vrstic pomnilniških celic hkrati. Takšni napadi lahko obidejo zaščito TRR, ki jo izvajajo nekateri proizvajalci, in povzročijo poškodbo pomnilniškega bita, tudi na novi strojni opremi s pomnilnikom DDR4.
Od 42 preučenih modulov DIMM se je izkazalo, da je 13 modulov ranljivih za nestandardne različice napada RowHammer, kljub deklarirani zaščiti. Problematične module so izdelali SK Hynix, Micron in Samsung, katerih izdelki 95 % trga DRAM.
Poleg DDR4 so preučevali tudi čipe LPDDR4, ki se uporabljajo v mobilnih napravah, za katere se je prav tako izkazalo, da so občutljivi na napredne različice napada RowHammer. Težava je prizadela zlasti pomnilnik, ki se uporablja v pametnih telefonih Google Pixel, Google Pixel 3, LG G7, OnePlus 7 in Samsung Galaxy S10.
Raziskovalcem je uspelo reproducirati več tehnik izkoriščanja na problematičnih čipih DDR4. Na primer z uporabo RowHammer- za PTE (Page Table Entries) je trajalo od 2.3 sekunde do treh ur in petnajst sekund, da je pridobilo privilegij jedra, odvisno od testiranih čipov. za poškodbe javnega ključa, shranjenega v pomnilniku, je RSA-2048 potreboval od 74.6 sekunde do 39 minut in 28 sekund. trajalo je 54 minut in 16 sekund, da smo obšli preverjanje poverilnic s spremembo pomnilnika procesa sudo.
Objavljen je bil pripomoček za preverjanje pomnilniških čipov DDR4, ki jih uporabljajo uporabniki . Za uspešno izvedbo napada so potrebne informacije o postavitvi fizičnih naslovov, ki se uporabljajo v pomnilniškem krmilniku glede na banke in vrstice pomnilniških celic. Za določitev postavitve je bil dodatno razvit pripomoček , ki zahteva izvajanje kot root. Tudi v bližnji prihodnosti objaviti aplikacijo za testiranje pomnilnika pametnega telefona.
Podjetja и Za zaščito so svetovali uporabo pomnilnika za odpravljanje napak (ECC), pomnilniških krmilnikov s podporo za največje število aktiviranj (MAC) in uporabo povečane frekvence osveževanja. Raziskovalci verjamejo, da za že izdane čipe ni rešitve za zajamčeno zaščito pred Rowhammerjem, uporaba ECC in povečanje frekvence regeneracije pomnilnika pa sta se izkazala za neučinkovita. Na primer, prej je bilo predlagano napade na pomnilnik DRAM mimo zaščite ECC in kaže tudi možnost napada na DRAM prek , od и izvajanje JavaScripta v brskalniku.
Vir: opennet.ru