安卓TrustZone降级攻击导致设备易受老旧漏洞影响

研究人员指出，问题出在ARMTrustZone技术的设计中，而这种技术广泛应用于当前的安卓设备中。

利用TrustZone设计缺陷

ARM TrustZone技术是一种片上系统，表示安卓智能手机主处理器中的一个安全区域。ARMTrustZone是运行自家操作系统即TrustZoneOS的安卓内核的一个特殊部分，它跟主安卓OS分开运行。

TrustZone旨在创建一个安全区域，供安卓OS运行最重要和最敏感的操作如处理加密数据等。这些操作以特殊app即trustlet的身份在TrustZone OS中运行。

当TrustZoneOS加载了一个trustlet时，它首先会检查密码数字签名来查看是否由正确主体签名。这种完整性检查旨在消除加载被篡改trustlet的风险。

TrustZone并不具备版本回滚保护功能

今年夏天，研究人员发现攻击者能够将trustlet降级到老旧版本，从而易受多个漏洞的影响。问题出在trustlet缺乏版本回滚阻止功能，并且为不同的固件版本使用了相同的密钥对。也就是说，攻击者能够用新的trustlet替换老旧版本，而TrustZone OS对此毫不知情，原因就在于它们的密钥是相同的。

能成功攻击多数智能手机

研究人员在运行ARMTrustZone技术的设备上测试并验证了攻击的可行性。这些设备包括三星GalaxyS7、华为Mate9、谷歌Nexus5和谷歌Nexus6。

他们用一个易受CVE-2015-6639漏洞影响的老旧版本替换了当前的Widevinetrustlet更新版本。该漏洞存在于安卓的高通安全执行环境(QSEE) 中，能让攻击者以根权限访问TrustZoneOS，从而完全控制手机。

研究人员指出，这个威胁存在于几乎所有的安卓设备中，如三星GalaxyS7、谷歌Pixel、谷歌Nexus、华为Mate 9 (Pro)、以及老旧版本和系列。其他小规模的手机厂商也受影响。

漏洞已修复

研究人员表示已将漏洞告知所有受影响的手机厂商，后者已推出最新更新版本并为更新的设备版本提供修复方案。为此，用户应该及时将设备更新至最新版本并尽快应用补丁。

研究人员指出，尚未发现任何使用该漏洞的大规模恶意软件传播活动。

攻击难以实施

好在攻击难以实施，首先攻击者必须拥有设备根权限，然后结合其它漏洞才能利用设备。如对该技术感兴趣，可参见2017年7月研究人员发布的文章《TrustZone降级攻击》。

这并非针对ARMTrustZone的首次重大攻击。去年，研究人员就曾在USENIX安全会议上详细描述了针对TrustZone的ARMageddon漏洞攻击。

谷歌已意识到TrustZone遭攻陷的问题，因此目前推出最多20万美元的奖励寻求可导致TrustZone或Verified Boot遭入侵的远程利用链或漏洞。