WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Có thể bẻ khóa công nghệ mã hóa toàn bộ ổ cứng của Android
Tin tặc có thể phá vỡ công nghệ Mã hóa toàn bộ ổ cứng FDE của Android đối với các thiết bị chạy bộ vi xử lý Qualcomm Snapdragon.
Android FDE được hỗ trợ mặc định từ Android Lollipop (5.0), sử dụng Key mã hóa thiết bị (DEK) 128-bit lựa chọn ngẫu nhiên, được mã hóa bổ sung bằng cách sử dụng một giá trị có thể là PIN code, password hoặc pattern của người dùng.
Android sử dụng DEK để khóa các tập tin được lưu trữ trên ổ cứng của smartphone. PIN code, password hoặc pattern nói trên sẽ mã hóa key này, đảm bảo an toàn để lưu trữ trên điện thoại mà không một tin tặc nào lấy được DEK và giải mã các tập tin.
Tin tặc có thể lấy DEK từ QSEE's KeyMaster
DEK đã mã hóa được lưu trữ trên module KeyMaster của smartphone, một khu vực TrustZone của Android, một phần đặc biệt trong lõi của Android, hoạt động riêng biệt với phần còn lại của lõi, và có nhiệm vụ xử lý các hoạt động quan trọng và nhạy cảm nhất.
Trên các thiết bị sử dụng nền tảng Qualcomm, module Key Master sẽ không nằm trong TrustZone, mà trong Môi trường Thực Thi An toàn của Qualcomm (QSEE), một thực thi tùy chỉnh của TrustZone cho các bộ vi xử lý của Qualcomm.
Nhà nghiên cứu độc lập Beniamini cho biết có rất nhiều lỗ hổng công khai (CVE-2016-2431) cho QSEE có thể được sử dụng để làm rò rỉ nội dung của các KeyMaster module, từ đó có thể tải các ứng dụng độc hại trong QSEE cho phép giành quyền kiểm soát toàn bộ các thành phần, trộm các DEK được mã hóa, mà không liên quan đến phần cứng và có thể tấn công brute –force.
DEK có thể bị tấn công brute-forced với kịch bản Python đơn giản
Beniamini thậm chí đã đưa ra một script Python dài 88 dòng và tấn công brute-force DEK được mã hóa nhằm để lộ DEK hiện tại và mở khóa các tệp tin của người dùng.
Việc khắc phục vấn đề này đòi hỏi những thay đổi về phần cứng trong chip của Qualcomm. Hiện tại, tất cả các thiết bị của Qualcomm đều có thể bị tấn công.
"Như chúng ta thấy, sơ đồ mã hóa hiện tại là bảo vệ từ xa, và có thể bị hack bởi một kẻ thù hoặc thậm chí bị phá vỡ bởi chính các OEM (nếu họ bị cưỡng chế phải tuân thủ việc thực thi pháp luật)", Beniaminimi cho biết. "Tôi hy vọng bằng việc làm sáng tỏ vấn đề này, các nhà nghiên cứu sẽ thúc đẩy các OEM và Google cùng nhau nghĩ ra một giải pháp mạnh mẽ hơn cho FDE".
Hiện tại có khoảng 57% thiết bị Android trên thế giới bị ảnh hưởng bởi FDE của Android.
Theo Softpedia
Android FDE được hỗ trợ mặc định từ Android Lollipop (5.0), sử dụng Key mã hóa thiết bị (DEK) 128-bit lựa chọn ngẫu nhiên, được mã hóa bổ sung bằng cách sử dụng một giá trị có thể là PIN code, password hoặc pattern của người dùng.
Android sử dụng DEK để khóa các tập tin được lưu trữ trên ổ cứng của smartphone. PIN code, password hoặc pattern nói trên sẽ mã hóa key này, đảm bảo an toàn để lưu trữ trên điện thoại mà không một tin tặc nào lấy được DEK và giải mã các tập tin.
Tin tặc có thể lấy DEK từ QSEE's KeyMaster
DEK đã mã hóa được lưu trữ trên module KeyMaster của smartphone, một khu vực TrustZone của Android, một phần đặc biệt trong lõi của Android, hoạt động riêng biệt với phần còn lại của lõi, và có nhiệm vụ xử lý các hoạt động quan trọng và nhạy cảm nhất.
Trên các thiết bị sử dụng nền tảng Qualcomm, module Key Master sẽ không nằm trong TrustZone, mà trong Môi trường Thực Thi An toàn của Qualcomm (QSEE), một thực thi tùy chỉnh của TrustZone cho các bộ vi xử lý của Qualcomm.
Nhà nghiên cứu độc lập Beniamini cho biết có rất nhiều lỗ hổng công khai (CVE-2016-2431) cho QSEE có thể được sử dụng để làm rò rỉ nội dung của các KeyMaster module, từ đó có thể tải các ứng dụng độc hại trong QSEE cho phép giành quyền kiểm soát toàn bộ các thành phần, trộm các DEK được mã hóa, mà không liên quan đến phần cứng và có thể tấn công brute –force.
DEK có thể bị tấn công brute-forced với kịch bản Python đơn giản
Beniamini thậm chí đã đưa ra một script Python dài 88 dòng và tấn công brute-force DEK được mã hóa nhằm để lộ DEK hiện tại và mở khóa các tệp tin của người dùng.
Việc khắc phục vấn đề này đòi hỏi những thay đổi về phần cứng trong chip của Qualcomm. Hiện tại, tất cả các thiết bị của Qualcomm đều có thể bị tấn công.
"Như chúng ta thấy, sơ đồ mã hóa hiện tại là bảo vệ từ xa, và có thể bị hack bởi một kẻ thù hoặc thậm chí bị phá vỡ bởi chính các OEM (nếu họ bị cưỡng chế phải tuân thủ việc thực thi pháp luật)", Beniaminimi cho biết. "Tôi hy vọng bằng việc làm sáng tỏ vấn đề này, các nhà nghiên cứu sẽ thúc đẩy các OEM và Google cùng nhau nghĩ ra một giải pháp mạnh mẽ hơn cho FDE".
Hiện tại có khoảng 57% thiết bị Android trên thế giới bị ảnh hưởng bởi FDE của Android.
Theo Softpedia