ช่องโหว่ของ RAMpage อาจทำให้เกิดความเศร้าโศกในอุปกรณ์ Android สมัยใหม่ทั้งหมด

ข่าว
Android / ช่องโหว่ของ RAMpage อาจทำให้เกิดความเศร้าโศกในอุปกรณ์ Android สมัยใหม่ทั้งหมด อ่าน 1 นาที

O'Reilly, Open Handset Alliance



CVE-2018-9442 หรือที่เรียกว่า RAMpage ในสื่ออาจมีปัญหากับอุปกรณ์ Android ทั้งหมดที่วางจำหน่ายตั้งแต่ปี 2012 ช่องโหว่นี้ค่อนข้างแตกต่างจากปัญหา Rowhammer ซึ่งใช้ประโยชน์จากข้อบกพร่องของฮาร์ดแวร์ที่พบในการ์ดหน่วยความจำสมัยใหม่ เห็นได้ชัดว่าเกี่ยวข้องกับวิธีการทำงานของเทคโนโลยีการบันทึกสารระเหยที่ใช้เซมิคอนดักเตอร์

วิธีเปิดใช้งาน g-sync

นักวิจัยทำการทดสอบเมื่อสองสามปีก่อนว่ารอบการอ่าน / เขียนซ้ำ ๆ มีผลต่อเซลล์ความจำอย่างไร เมื่อมีการส่งคำขอไปยังแถวเซลล์เดิมซ้ำแล้วซ้ำเล่าการดำเนินการจะสร้างสนามไฟฟ้า ฟิลด์นี้สามารถเปลี่ยนแปลงข้อมูลที่จัดเก็บในพื้นที่อื่น ๆ ของ RAM ได้ในทางทฤษฎี



การเปลี่ยนแปลงที่เรียกว่า Rowhammer เหล่านี้อาจทำให้เกิดปัญหากับพีซีและอุปกรณ์ Android การใช้อย่างสร้างสรรค์อาจทำให้สามารถใช้รหัสตามอำเภอใจได้



โดยเฉพาะอย่างยิ่งช่องโหว่ของ RAMpage อาจทำให้เกิดการโจมตีแบบ Rowhammer โดยใช้แพ็กเก็ตเครือข่ายและรหัส JavaScript อุปกรณ์เคลื่อนที่บางรุ่นจะไม่สามารถประมวลผลการโจมตีเหล่านี้ได้อย่างถูกต้องและแน่นอนว่าไม่รุนแรงเท่ากับอุปกรณ์ที่ใช้การ์ด GPU บนเดสก์ท็อปพีซี อย่างไรก็ตามปัญหาเกี่ยวกับโมดูล RAM ที่จัดส่งตั้งแต่ปี 2555 นั้นเกี่ยวข้องมากพอที่นักวิจัยกำลังดำเนินการบรรเทาผลกระทบอย่างรวดเร็ว



ในขณะที่วิศวกรของคูเปอร์ติโนมักไม่ทราบถึงการวิจัยนี้ในเวลานั้น แต่ความแตกต่างพื้นฐานของวิธีที่อุปกรณ์ Apple ได้รับการออกแบบหมายความว่าโทรศัพท์มือถือที่ใช้ iOS อาจไม่มีความเสี่ยงเท่า Android แอปใหม่อ้างว่าสามารถทดสอบได้ว่าอุปกรณ์ของคุณอยู่ภายใต้ช่องโหว่เหล่านี้หรือไม่และอาจกลายเป็นการดาวน์โหลดยอดนิยมในอีกไม่กี่สัปดาห์ข้างหน้า

ผู้เชี่ยวชาญด้านความปลอดภัยของ Unix บางคนได้แจ้งข้อกังวลเกี่ยวกับสถานะปัจจุบันของแอปเหล่านี้ แม้ว่าเครื่องมือในปัจจุบันดูเหมือนจะเป็นเครื่องมือที่ได้รับการออกแบบมาอย่างดี แต่ก็มีความเสี่ยงที่อาจจะไม่มีในอนาคต

ผู้โจมตีสามารถโพสต์แอปในอนาคตเวอร์ชันโอเพ่นซอร์สที่สะอาดพร้อมกับไบนารีที่มีช่องโหว่ ซึ่งอาจทำให้บุคคลที่มีใจรักความปลอดภัยติดตั้งช่องโหว่



เครื่องมือปัจจุบันมีให้บริการจากที่เก็บอย่างเป็นทางการและนักพัฒนาซอฟต์แวร์ขอให้ผู้ใช้ติดตั้งเครื่องมือดังกล่าวเมื่อพร้อมใช้งานจากช่องเหล่านี้ ไม่น่าเป็นไปได้มากที่สิ่งใดก็ตามที่ออกมาจากสิ่งเหล่านี้จะตกเป็นเหยื่อของวิศวกรรมสังคมประเภทนี้โดยเฉพาะ

แท็ก ความปลอดภัยของ Android