電力管理システムを悪用してARM系CPUのTrustZoneをハックする手法が報告される 47
ストーリー by hylom
これは対処しづらい 部門より
これは対処しづらい 部門より
あるAnonymous Coward 曰く、
ARM系プロセッサに搭載されている電力管理機構「DVFS」の脆弱性を利用することで、CPUに備えられているセキュリティ機構を突破できるという報告が出ている(the morning paper、Usenix、Slashdot)。
DVFSは、システムの状況に応じて動作クロックを変えたり、回路ブロックごとに電源のON/OFFや電源電圧を動的に変動させることで消費電力を削減するというもの(マイナビニュース)。今回報告されている脆弱性は、プログラム側で特定のパターンの負荷を与えることでDVFSによる回路ブロックの電圧変動を発生させ、それによってプロセッサの回路に意図しない動作を起こさせるというもの。これによって別のスレッドの実行結果に干渉することができるという。
報告では、ARM系プロセッサに使われているセキュリティ機構の「TrustZone」(PC Watchの解説記事)で保護された領域から秘密鍵を抽出、Trustzoneに自己署名コードをロードして権限昇格ができるとしている。ARM Trustzoneだけでなく、Intel SGX(ソフトウェア保護拡張)でも同様の問題があるようだ。
これからいろいろ波乱がありそう (スコア:2, 参考になる)
トランプ大統領の意向でMIPSは中国企業ではなく米国企業の傘下となることが決定
http://techon.nikkeibp.co.jp/atcl/feature/15/122200045/091400099/ [nikkeibp.co.jp]
というニュースもあり、
CPUのアーキテクチャそのものが今までよりもさらに政治色が強いものになってきています
長期的に見ると米国、欧州はMIPSとINTELを、中国、アジア新興国はARMを多用していくようになっていくのでしょうか
Re:これからいろいろ波乱がありそう (スコア:1)
いや、龍芯はMIPSアーキテクチャよ。一応。
兵器の一部にImaginationIPが使われてたとかじゃない?
アーキテクチャ自体は、そんな政治的な案件じゃない。
Re: (スコア:0)
> いや、龍芯はMIPSアーキテクチャよ。一応。
> 兵器の一部にImaginationIPが使われてたとかじゃない?
という「政治的そのもの」な話に続けて
> アーキテクチャ自体は、そんな政治的な案件じゃない。
なんて書かれてもまったく説得力がないんですが、、、
自分がなにを書いているかくらいは一貫してもらえないでしょうか?
それもできないようでは、周囲からは必死な信者/アンチとしてしか見てもらえませんよ
そのうえで、
「(トランプという)アメリカ大統領が直接示した意向で」なのですから、政治的以外の何物でもありません
Re:これからいろいろ波乱がありそう (スコア:1)
いつもの人かな?アーキテクチャの信者って何よ、アハハハ
Imaginationが持っているのはMIPSアーキテクチャではなく、ライセンスを受けて設計されたMIPSコアのIP。
Re: (スコア:0)
> いつもの人かな?アーキテクチャの信者って何よ、アハハハ
なんだ、図星突かれたとたんに茶化して逃げようとしだしたか
> Imaginationが持っているのはMIPSアーキテクチャではなく、ライセンスを受けて設計されたMIPSコアのIP。
2013年2月8日付でMIPSテクノロジーズ自体がImaginationに身売りしている
こういう人が火消しに出張ってくるってことは、今回の件がARMにはとんでもなく都合悪いってことだな
Re:これからいろいろ波乱がありそう (スコア:1)
すまぬMIPSテクノロジーの件は把握して無かった。
でも見えない敵と戦うのは感心しないな。
Re: (スコア:0)
> すまぬMIPSテクノロジーの件は把握して無かった。
> でも見えない敵と戦うのは感心しないな。
見えない敵と戦ってるのはお前だけ
だからMIPSテクノロジーズ売却のこともすっぽかして頭ごなしに見えない敵に対して攻撃的になり間違いを犯し、
挙句にそれでも相手のほうがもっとダメな奴だってことにしようとしてる
典型的な信者/アンチの異常思考そのものだ
Re: (スコア:0)
これはイタイ
iPhoneのSecureEnclaveまで死んじゃうんじゃないかコレ? (スコア:1)
iOSでの指紋認証(情報格納も含む)などセキュリティ系機能で使用されているSecureEnclaveも
実装のベースはTrustZoneであることが知られています
ttps://applech2.com/archives/47760373.html
> Secure EnclaveのベースもARMのTrustZoneということがFortiGuardで解説されている
つい先日、iPhone5SにおけるSecureEnclaveのファームウェア復号鍵が判明&流出するという騒動がありましたが、
その時点で今回のような手法が使われていた可能性がありますね
また、今回の情報が大々的に知れ渡った後では、
全世界で徹底的にSecureEnclaveに対する攻撃手法として使用されるでしょう
Re: (スコア:0)
iPhone信者が逆切れした結果、iPhoneの存在価値がまったくなくなった、ということは理解した
いきなりリモートからパスワードを盗めるというわけではない (スコア:1)
ちょっと冷静になってUSENIXの実際の要約 [usenix.org]を見ると
>We show that a malicious kernel driver (1) can extract secret cryptographic keys from Trustzone, and (2) can escalate its privileges by loading self-signed code into Trustzone.
と書いてある。悪意のあるカーネルドライバーがTrustZoneに侵入出来てしまうことを実証したと。
つまり、まずは悪意あるカーネルドライバーを仕込めるところまでOSのセキュリティを破らないと、今回の攻撃は成立しないわけだ。
そりゃそうだよね。この攻撃はCPUの電圧と周波数を自由に操ってSecureZoneへの入出力にエラーを起こすのがミソなのだが、さすがにそんなことをユーザースペースからやらせてくれるほどUnixのセキュリティは甘くはない。
ということで、リモートのコード実行バグと権限上昇バグを組み合わせてrootを取り、カーネルにドライバーを仕込むところまでやって、初めてリモートでSecureZoneへの攻撃が出来るということになる。
まあ不可能じゃないし、深刻な脅威ではあるが、今すぐスマホを投げ捨てるような話でもなさそう。
Re:いきなりリモートからパスワードを盗めるというわけではない (スコア:1, 参考になる)
> ちょっと冷静になってUSENIXの実際の要約を見ると
その前に今回の研究成果を発表してる動画とか見たほうがいいよ
まず最初にあるのは、スマホを開腹して動作しているときに物理的に電力その他に介入すること
これは「Physical fault attacks」と表現されている
こちらが成立するのは前提となっている
その後、発表動画の内容は(9分ちょうど付近で)
「では、物理的には介入しない場合にも攻撃は成立するのか?」という話になっていく
で、ここで発生する問題はぱっと考えたとき以下の3つ。当然他にもいくらでもあるだろう
ただし、「まず物理攻撃のほうをやれば強制ロック解除でも強制ファームダウンでも何でもできる」というところは
今回の論文の内容から外れるのでいったん無視する
1:iPhoneを盗まれた、紛失して誰かに拾われたとき、半年~数年経過する間にiOSのロック強行突破と新脱獄手法が見つかる
iOSのロック強行突破や新脱獄手法は延々と見つかってはつぶされを繰り返しており、
長期的に見ると盗まれたiPhoneのロックを悪意ある者に解除され、脱獄されることは当然あり得る
(というか発生する前提でいたほうがよい)
本来であれば、それでもSecureEnclaveやTrustZoneの内容は守られているはずであったところが、
今回の脆弱性を使ってそこが破られ、指紋認証情報やApplePalyの金銭アカウント情報に直接アクセスされることになっていく
iPhoneが電波が入らないよう細工された状況に置かれている場合、遠隔ロックや強制クリアも利かない
上記のような問題は、Androidでも同様の部分についてありえる
2:IntelSGXなどのほうでは、今度はすべての端末で同じデータが入っている箇所が危機にさらされる
暗号化されているべきコンテンツの復号鍵とか
この場合、端末自体は悪意あるものがすでに支配下に置いており、攻撃対象はTrustZone、IntelSGXの領域となる
一回でも漏れたらすべておしまい
つい先日起きた「iPhone5SのSecureEnclaveのファームウェア復号鍵が判明してネットに流出する」もこれに類する話であった可能性がある
3:遠隔攻撃からの発展性
iOSでは以前「このPDFを開くだけで脱獄される、このサイトを開くだけで脱獄される」などが実際に存在した
また、ソフトバンクの孫正義は
「IoT時代に、IoT機器に脆弱性があり遠隔攻撃で内部にアクセスされたとしても、TrustZoneがあればその内容は助かる」と公式プレゼンで言及している
ところが今回のような話があると、遠隔攻撃で脱獄される/IoTデバイスのroot権限(とか、その辺)をとられるというケースでは
SecureEnclaveやTrustZoneの中まで危険にさらされることになる
Re: (スコア:0)
問題は一部のスマホにしか
セキュリティパッチが速攻で
降ってこないことなんですよねぇ
それ以外のとこ使ってると
ドンだけやばい穴でも3か月後とか
居ないものにされるとか
# 通勤のお供BTイヤホン封印中><
Re: (スコア:0)
論文でも明記されてるが、
問題はARMのTrustZoneそのものにあるのでソフトウェアでやれることなんて大して存在しない
利用者が短期的にできることは、
TrustZoneやそれに類する実装に頼った部分はそもそも使わないこと
iPhoneでもAndroidでも同様として、指紋認証とかApplePay/AndroidPayとかその辺
iPhoneXのFaceIDも多分同様に避けたほうがいい
長期的には、TrustZoneやそれに類する実装に頼った製品は使うのをやめ、そうでない製品にすること
たとえばTPMチップを省略するためにTrustZoneを使っている製品は使わず、TPMチップを積んだ製品にする
Intel SGX (スコア:0)
現時点でUltra HD BDをPCで再生するための条件の一つだった記憶があるのですが、
これでPCのでの再生はダメってことになったりするんでしょうか。
ダメになっても影響のある人はあんまり居ない気もしますが。
Re: (スコア:0)
魔法の箱とかDeCSSとかSoftCASとかでてもスルーですよね
正式利用の利権が抑えられれば
破られようが何だろうが
知ったこっちゃないんでしょう
UHD円盤なんて極一部のマニアしか手を出さないものなんで
正直どうでもよくないですかね
#「権限昇格ができる」という危険性よりも重要なのだろうか
ARMにもソフトバンクにも大打撃 (スコア:0)
ソフトバンクがARMを買収した際の報道
ソフトバンク系マスメディアであるアイティメディアの記事に、以下文章ならびに専用のスライドまで存在することが明記されている
http://www.itmedia.co.jp/news/articles/1607/21/news136.html [itmedia.co.jp]
> これがARMを買収した孫社長の未来予想図だ。
> このとき最も重要となるのがセキュリティ。全てがインターネットでつながったとき、
> 起こるであろうXデ―をARMであれば防げるという。どういうことか。
>
> 実はARMにはTrustZoneというテクノロジーがある。
> これは、ハードウェア、サービス、製造に関する細部に配慮したセキュリティシステム。
> ハードウェアごとに異なる鍵を持っていることが最大の特徴で、
> インターネットから入れない仕組みになっている。
>
> ARMを買収したのは半導体会社だからではない。
> IoT時代のプラットフォームを提供しているためだ。
孫正義自身がARMを買収する大きな理由にし、周囲に対して大々的にアピールしていたTrustZoneがこんなことになるなんてねぇ、、、
これにより既存のARMチップ搭載機器のセキュリティに対しての懸念が沸き上がると同時に、
将来的な機器へのARMチップ搭載についても再考慮が必要になっていくのは間違いないね
また、上記ページには以下の興味深い一文がある
> ARMは1個目の試作品から省電力を実現。
> ピンを電力回路につなぎ忘れたのに、漏れた電力で動いてたという偶然の出来事だった。
今これを読んでみると、
その漏れた電力を悪意あるものに制御されたら?という観点での考慮ができておもしろい
Re: (スコア:0)
そもそも量子コンピュータの実用化がなんとなく見えてきたような感じがしないでもない現状で、
既存のセキュリティ機構が何十年も先に価値があるのか、かなり疑わしいと思うけど。
アイティメディアがソフトバンクパブリッシングから生まれたのは正しいけど (スコア:0)
ソフトバンク系と言えるほど資本入っているかねぇ?
箱崎時代まではソフトバンクの中に出版事業部があったけど、その後ソフトバンクパブリッシングとして赤坂に移転して、それ以降パブリッシングのフロアで社長見てない(逆に言うと、株式公開を果たした浜町や箱崎時代は社長が部署の説明をしている現場を何度も見ている)。
Re: (スコア:0)
アイティメディアの主要株主はSBメディアホールディングスで、株式の52%(2017/3時点)を握っている
一般的な表現に沿ってもソフトバンク子会社と言って差し支えない
実回路の影響は (スコア:0)
電力系問題だと実際のウェハの回路状態に影響をうける気がするけど
どこのchipでも脆弱性をもつのかな。
なんだかんだセキュリティ関連はハードマクロしか使用してないの?
Re:実回路の影響は (スコア:1, 参考になる)
> 電力系問題だと実際のウェハの回路状態に影響をうける気がするけど
> どこのchipでも脆弱性をもつのかな。
今回の問題につながるほどアグレッシブな制御にしていると問題が起きる
まずここで「突き詰めすぎた省電力動作による、セキュリティ面での落とし穴」という内容で言及されている
さらに悪いことに、TrustZone(やそれに類する実装)固有の問題がある
TrustZone(やそれに類する実装)は
通常のマルチコアシステムにおいて
実装を工夫することで特定のコア上+特定のメモリ上ではセキュアなモジュール、データだけが動作するという仕様で、
専用のセキュリティハード不要、消費電力でも有利とARMは強く喧伝していた
また、ARMを買収したソフトバンクもここを強くアピールしていた
appleはTrustZoneをベースにしたScureEnclaveを実装してそこに指紋情報など重要な情報を格納している
Intelの話は詳しく調べていないが暗号化されたコンテンツの復号鍵や復号したデータの一部などが格納されているはず
ソフトバンクとしてはIoTにおける様々な情報のうちセキュリティが重要な情報はここで扱うのだと明言している
ところが今回のような問題がおきると、
それは「セキュアなモジュール、データだけが扱うはずの領域」を周囲の通常のモジュールが盗み見できてしまうことになる
今このストーリーの中で「今回の件はARMだけに限ったことではない!!」と叫んでいる奴がいるが、
TrustZoneやそれに類する実装の部分についていえばARMに限ったもので、
そこが一番重要で重大
もちろん攻撃する側もそこを全力で狙う
全体としてどう対処するか?というと、
根本原因は放置しつつ対処療法で省電力の程度を妥協して問題が起きづらくする
(もちろんこれは消費電力の増加や性能低下につながる)
か、
セキュアな機能はやはり別ハードウェアにする
(するとARMの存在価値そのものが大きく減少する。これはARM買収時に孫正義が強くアピールしていた価値がなくなることと等しい)
の
どちらかになる
どちらにせよARMというアーキテクチャの大きな特長そのものにセキュリティ嫌疑がついたということで、
これからいろいろあれそうではある
Re: (スコア:0)
> なんだかんだセキュリティ関連はハードマクロしか使用してないの?
そうなんじゃね。セキュリティは素人が触っちゃいけない分野だし。
さっそくARM工作員がマイナスモデ工作を開始してるな (スコア:0)
しっかりログとってるとやはり面白い
工作員の活動がApple、iPhone、Mac、ソフトバンク、ARMなど特定のところに偏ってるのがとてもよくわかる
Re: (スコア:0)
このコメントの時点で -1 モデは 3 箇所。
その内キミのコメントが 2 つ。
それで工作とやらを見抜く()とは、すばらしい超能力で。
Re: (スコア:0)
>しっかりログとってると
スラドの生アクセスログでも見たんですか?
TrustZoneの後 (スコア:0)
同じコアでセキュアなコードをというのは常に問題がつきまとう。それなら別のコアで実行すればよいのではと誰もが考える。
bigLITTLEやSocionextの24コアARM CPUなど、ARMの世界でも将来的に代替として転用できるような技術が実用されている。そろそろTrustZoneの後のことを考えたほうがよいのかもしれない。
# しかしそれでも共有されたキャッシュなどの攻撃対象は残り続けるのだろうなあ
Re: (スコア:0)
ARMが特許で押さえていない範囲になったらARMの存在価値が激減する
ARMとしてはどれだけ問題があろうがTrustZoneやそれに類する実装を続けていくしかないし、
TrustZoneを根拠にIoT向けでARMが普及すると言って3兆円出した孫正義としても引くわけにはいかないだろう
Re: (スコア:0)
OSが設定できるなら権限昇格の脆弱性でダメ。BIOSのみでも、BIOS上書きでダメ。
Re: (スコア:0)
だからさ。本来ユーザー側から触れないハード設定をどうやってコントロールすんのよ。
で実際の内容だけど、今回のような問題があることをOSがあらかじめ知っており、
はい、当然OSは電源変動を考慮して電源制御をするようにしています。していなかったらアホだ。
例えば電源分離をONにするとON領域から電源分離領域に一気に電流が流れて誤動作するので、時間をおいて順にONにするように考慮するもんだよ。
それへの対策実装を入れていない限りは回避不可能
対策実装を入れるにしても、(OS側だけでどこまでできるかは別として)マルチコア動作の相当部分を放棄する、クロック制御の相当部分を放棄するなどが必要で性能の大幅低下、消費電力の大幅増加が避
Re: (スコア:0)
> 通常は想定するMAXの周波数で動作しても大丈夫なように設計するもんである。
> なのでゲーティングクロックがどんなに変動しても回路は誤動作しない。
今回は省電力機構を使い、低電圧・高クロック状態を作りTrustZoneを誤動作させることによりサイドチャネル攻撃が可能になるという話みたいよ。
Re: (スコア:0)
#3286801 の勘違い丸出し、話の流れもまるで読まない姿勢はほんとに気持ち悪いとしか表現できない
必死に書いてる内容も「とにかくARMは完璧だから穴なんてない」というだけの、ストーリーすら無視したものにしかなってないし
そろそろスラドにも技術レベルでコメを足切りするシステムを入れたほうがいいんじゃない?
これは面白い事をおっしゃる。君のコメントの何処に技術レベルの話が書いてあるのかな?
ちなみにこれはARMとか関係なく同期回路設計の基本的な話なんだが知識皆無の君には理解出来ないか。
Re: (スコア:0)
> これは面白い事をおっしゃる。君のコメントの何処に技術レベルの話が書いてあるのかな?
ストーリーに書いてあることを必死に全面否定するような真似をしてるそちらさんと違って
こちらは必要があれば必要な部分を書けばいいだけだからね
まさかそういう立場の違いも理解できてないの?
そのうえで、ストーリーを全面否定しようとしている馬鹿はスラドではなくソース元に直接言えよ
ストーリーは全肯定しなきゃならないなんて俺ルールを語られてもねぇ。
> ちなみにこれはARMとか関係なく同期回路設計の基本的な話なんだが知識皆無の君には理解出来ないか。
「TrustZoneがクラックされた」というストーリーの中において、
無理やり話を極大化して逃げようとする工作はうざいからやめてくれない?
そういうのはもうウンザリしてるくらい世の中にあふれかえってるからさ
Re: (スコア:0)
#3286890 がついには逃げ口上だけになってしまってまで粘着している現実を見ると、
ほんとARMにとって今回の話は核爆弾級の問題ってことがよくわかる
TrustZoneやそれに類する実装(AppleのSecureEnclaveも含む)を積んだチップは全部やばいな
理解出来る漢字を除いてひらがなだけ読んでる幼稚園児的な?
遠慮しないでテクニカルな事を書けばいいのに。STAでもIR-DROPでも受け付けまっせ。
Re: (スコア:0)
後から読んだら間違いがあった。これじゃ意味が通らないね。
誤)理解出来る漢字を除いてひらがなだけ読んでる幼稚園児的な?
正)理解出来ない漢字を除いてひらがなだけ読んでる幼稚園児的な?
でした。
「ARM/Apple信者認定君」のようにデタラメ極まりない主張も知識が無いと騙されちゃう奴って結構いるんだなとこのストーリーをみて思った。
Re: (スコア:0)
引用文に対してその返しでは、LSIが電圧不足で誤動作しないように
設計時にどのようなことをしているか全く知りませんと宣言しているようなもんだぞ
ちなみにやっていることは業界全体で同一だからな
Re: (スコア:0)
なーにバカ言ってんだか
アンタこそ
#3286816 → #3286868 → #3286894
と、テクニカルなことに一切反論できないで人格批判で逃げようとしてるじゃない
それで「ARMヤバいAppleヤバい反論は許さない!」なんて喧伝してもね、普通の人間はまともに聞いちゃくんないよ?
#3286890の言うとおり、知識の無い奴が虚勢張ってるってだけだよね
Re: (スコア:0)
まあ、“そろそろスラドにも技術レベルでコメを足切りするシステムを入れたほうがいいんじゃない?”なんて言ってた人が技術レベルの話をすると逃げ回ってるのは滑稽だよね。
Re: (スコア:0)
質問をしてはいけません、的な?