The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Извлечение ключей устройств Qualcomm для атаки на зашифрованные разделы в Android

02.07.2016 09:16

Опубликован метод извлечения ключей устройства на смартфонах с чипами Qualcomm, позволяющий свести операцию взлома механизма шифрования разделов (Full Disk Encryption) в Android к выполнению операции перебора пользовательского пароля на внешней системе.

Для защищённой обработки ключей шифрования в процессорах Qualcomm применяется технология TrustZone с аппаратно изолированным окружением QSEE (Qualcomm Secure Execution Environment), в котором на отдельном процессоре могут выполняться специальные защищённые обработчики (Trustlets), включая обработчик ключей шифрования - KeyMaster. Несколько месяцев назад в реализации TrustZone было найдено несколько уязвимостей, позволяющих выполнить свой код в окружении TrustZone.

Дальнейшее изучение работы TrustZone показало, что работа с ключами организована небезопасно и вместо полной аппаратной изоляции доступа к ключам, обработчик KeyMaster извлекает ключи из SHK и использует их внутри TrustZone. Воспользовавшись ранее выявленными уязвимостями (CVE-2015-6639, CVE-2016-2431) исследователю удалось извлечь ключи устройства, находящиеся в окружении TrustZone, что существенно упростило проведение атаки по раскрытию информации в зашифрованных разделах.

Ключ устройства используется для привязки операций шифрования к конкретному устройству, не давая организовать расшифровку скопированного раздела на внешних системах и принуждая к использованию собственных обработчиков, применяющих ограничения на применение пароля пользователя (число попыток, задержки между попытками). Неизвестным компонентом остаётся пароль, заданный пользователем для доступа к шифрованному разделу. При наличии ключей устройства для расшифровки становится применим автоматизированный метод подбора пароля пользователя, выполняемый вне смартфона. От атаки может защитить использование надёжного пароля, но на смартфонах применение таких паролей затруднительно, так как мало кто решается вводить длинный и состоящий из разных типов символов пароль при каждой разблокировке экрана.

Интересно, что простое устранение уязвимости не решает проблемы, так как атакующий может скопировать образ зашифрованных данных с flash-накопителя, после чего установить на смартфон старую уязвимую версию прошивки и извлечь из TrustZone ключ устройства. После этого атакующий может на внешней системе провести ничем не ограниченную brute-force атаку по подбору пароля. Ключ устройства остаётся неизменен, хранится в закрытом от изменений SHK и не зависит от смены прошивки. Подобный метод также может быть применим спецслужбами, которые могут потребовать у Qualcomm сформировать подписанный код для TrustZone, копирующий ключ на внешний носитель.



  1. Главная ссылка к новости (https://bits-please.blogspot.r...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: android, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (42) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (-), 09:25, 02/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Соль из Crypto Footer вытрясите, и всё
     
  • 1.2, Аноним (-), 09:27, 02/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Кто сказал iOS?
     
     
  • 2.4, RazrFalcon (ok), 10:47, 02/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Их ломают не менее успешно.
     
     
  • 3.6, Яценюк (?), 10:55, 02/07/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Пруфы?
     
     
  • 4.8, demimurych (ok), 11:25, 02/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Последняя шумная история с айфоном террориста, где долго просили Апл дать возможность расшифровать данные. После чего деньги были заплачены одной полухакерской конторе которая успешно предоставила все зашифрованные данные
     
     
  • 5.9, ghost (??), 11:29, 02/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    тут два момента, во-первых нет доказательств того что устройство было взломано на самом деле, во-вторых tpm-модуль начали ставить с iphone 5s, в сабжевом устройстве его еще не было.
     
     
  • 6.13, Нанобот (ok), 12:51, 02/07/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    параноикам не нужны доказательства!
     
     
  • 7.30, Аноном (?), 11:51, 04/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > параноикам не нужны доказательства!

    Параноики по определению не верят мутной проприетарной дряни навроде проприетарной прошивки модуля TPM.

     
  • 6.29, Аноним (-), 11:49, 04/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    И, конечно же, мы поверим на честное слово какому-то мутному проприетарному TPM модулю. И тому что в него не вставили бэкдор, ой, простите, инженерный логин, это сейчас так называется.
     
  • 5.27, й (?), 00:38, 04/07/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    man bruteforce. для пароля из четырёх цифр тривиальная задача.
     
  • 4.10, Аноним (-), 11:30, 02/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Март этого года:

    - Яббл отказался предоставить ФБР инструменты для взлома прошивки.
    - ФРБ помыкалось пару месяцев, после чего послало Яббл наxeр, заявив что справились сами.

    http://www.3dnews.ru/930284

     
     
  • 5.12, Аноним (-), 11:56, 02/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Дак это брачные игры и пиар для общественности. Или кто-то сомневается?
     
  • 5.17, XXXasd (ok), 16:08, 02/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > ФРБ помыкалось пару месяцев, после чего послало Яббл наxeр, заявив что справились сами.

    а интересно, вот если бы Apple бы согласилась бы помоч ФБР...

    ...то после этого они ведь наверное так и заявили бы -- "мы помогли ФБР и наши отношения теперь как ни когда крепкие!" ... да?

    и ведь не стала бы Apple+ФБР придумывать какую-то там левую фирму.. да?

     
     
  • 6.38, _ (??), 17:06, 04/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Блажен кто верует! :(
    5 лет назад, когда производитель Blackberry имел 70*10^9 наличкой в банке, их прогнула вонючая Индия - как миленькие ключи отдали.
    А тут ФБР ... просто вам скормили пьесу пиф-паф, яббло мол хорошее, продолжайте покупать :)
     
  • 5.35, anonymous (??), 14:42, 04/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Яббл отказался предоставить ФБР

    Не может организация или физлицо "отказать" силовой структуре страны.

     
     
  • 6.36, Аноним (-), 15:12, 04/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Может и делает. И физлицо (что существенно труднее), и частная корпорация (что существенно проще). Вопрос только в том есть ли у тебя смелость идти до конца и деньги на адвокатов. Из громких — Lavabit и, ныне покойный, Аарон, например. Трусы, конечно, сливаются по первому свистку хозяина и потом долго еще виляют хвостом, как бы чего не вышло.
     
     
  • 7.39, _ (??), 17:13, 04/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У бизнесмена в таком случае - оку***ый выбор!
    Либо "идти до конца" и остаться ни с чем (где там твоя лава и аарон?)
    Либо произнести сакральное "nothing personal - just a business" и торговать потрохами.

    На моей личной планете Земля, первый вариант я никогда не видел. Напомню - мы о коммерсах.

    Не коммерческий TrueCrypt предпочёл сдохнуть, но остаться целкой.
    Коммерсу если заплатят - значит по любви. Жёстко - но правда.

     
  • 7.41, anonymous (??), 10:40, 05/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > ... и, ныне покойный, Аарон, ...

    Это победа? 8-(

     
  • 7.42, anonymous (??), 10:48, 05/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Может и делает. И физлицо (что существенно труднее), и частная корпорация ...
    > Трусы, конечно, сливаются по первому свистку ...

    Содействуя преступнику, ты становишься соучастником.
    А с Вашим подходом - тюрьмы полны победителей

     
  • 3.26, soarin (ok), 19:21, 03/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    у тебя лишнее слово "не"
     
  • 2.16, iPony (?), 15:54, 02/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ты
     

  • 1.3, Аноним (-), 10:10, 02/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Столлман пророк всего этого. Представьте, что доступно спецслужбам, какие бэкдоры: прямо в железе.
     
     
  • 2.5, 08 ц35ми7е 27хмт (?), 10:49, 02/07/2016 [^] [^^] [^^^] [ответить]  
  • +8 +/
    С каждым годом всё меньше и меньше над Столлманом смеются.
     
     
  • 3.7, Аноним (-), 11:14, 02/07/2016 [^] [^^] [^^^] [ответить]  
  • +16 +/
    те кто смеялся, так и смеются. им скрывать "нечего". обычно это либо тролли, либо простые идиоты
     

  • 1.11, federix (ok), 11:40, 02/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если хочешь защиты своих данных помини длинный пароль... А привязка к железу, скорее очередной фэйл при проектировании, а не уязвимость.
     
     
  • 2.19, XXXasd (ok), 16:18, 02/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Если хочешь защиты своих данных помини длинный пароль... А привязка к железу,
    > скорее очередной фэйл при проектировании, а не уязвимость.

    к железу привязывается лишь KDF-функция.

    то есть функция которая превращает "простую человеческую парольную фразу" в пригодный к применению (сложный, длинный) бинарный ключ.

    KDF-функция, которая НЕ присязана к железу, например PBKDF2 -- это конечно хорошо. но такая функция сразу же УЖЕ (без всякого взлома) не защищает от брутфорса.

    привязка KDF-функции к железу, даже при условии что это железо есть маленький (но есть) шанс взломать, всё равно даёт более высокий уровень безопасности, чем когда этой привязки *сразу* нет

     
     
  • 3.24, Анонимный Алкоголик (??), 05:36, 03/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > привязка KDF-функции к железу, даже при условии что это железо есть маленький
    > (но есть) шанс взломать, всё равно даёт более высокий уровень безопасности,
    > чем когда этой привязки *сразу* нет

    "Предустановленный в железе и как следует к нему привареный наш супер мастер-ключ даёт вам гораздо более высокий уровень безопасности. Мы гарантируем."
    ? :-)

     
  • 3.25, freehck (ok), 09:47, 03/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > PBKDF2 -- это конечно хорошо. но такая функция сразу же УЖЕ (без всякого взлома) не защищает от брутфорса.

    Ага. PBKDF2. Не защищает от брутфорса. Закроем глаза на то, что брутфорс -- штука вообще говоря почти бесполезная в случае любого нетривиального пароля. Но PBKDF2 как раз и разрабатывался для того, чтобы максимально замедлить скорость перебора.

    Вот прикиньте: 26 букв латинского алфавита, с заглавным - уже 52, 10 цифр, 28 спецсимволов... Итого 90 букв в алфавите пароля.

    Пароль из всего восьми символов даёт вам 10^15 вариантов. Даже если вы построили кластер, который перебирает до миллиона таких паролей в секунду, у вас уйдёт более тридцати лет, чтобы перебрать их все. Такое тяжело сделать для PBKDF2, самые лучшие железки специально для этого спроектированные, могут перебирать до тысячи в секунду.

    И это только для случая, когда вам известно, что длина пароля строго 8 символов. Если там 7 или 9 - смело прибавляйте ещё и брутфорс этих вариантов.


    Про привязку KDF-функции к железу спорить не стану. Это штука по-моему в принципе бесполезная. В принципе, если она идёт по умолчанию, то ей можно воспользоваться, но только *в дополнение* к нормальным методам защиты.

    Иными словами: если хотите, можете аппаратно зашифровать винчестер, но LUKS всё равно ставить надо.

     
     
  • 4.28, Легион (?), 01:01, 04/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    У кого вы видели на телефоне пароли с полностью задействованным алфавитом ? Его приходится весьма часто вводить, причем с наэкранной клавиатуры, что само по себе уже неудобно. В 99.9% случаев это простенький цифровой пароль из 4-5 символов.
     
  • 4.32, Аноним (-), 12:09, 04/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Пароль из всего восьми символов даёт вам 10^15 вариантов.

    Это в теории. А на практике - не так уж много людей использует пароли вида 3Jk0aSVb, потому что их не очень просто запомнить. И прогон по вордлисту, датам рождения и прочих именах собак снимает половину паролей. А если знать что там именно 8 букв, вариантов еще убавляется. Не надо пробовать слова из 9 букв. И из 7 тоже. И слов на 8 букв не так уж много.

     
  • 4.44, Анонимный Алкоголик (ok), 01:40, 06/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот прикиньте: 26 букв латинского алфавита, с заглавным - уже 52, 10
    > цифр, 28 спецсимволов... Итого 90 букв в алфавите пароля.
    > Пароль из всего восьми символов даёт вам 10^15 вариантов. Даже если вы
    > построили кластер, который перебирает до миллиона таких паролей в секунду, у
    > вас уйдёт более тридцати лет, чтобы перебрать их все.

    Только вы не поняли. Эти "безопасники" специально заботливо заготовили всё так, чтобы иметь дело с простым "входным паролем". Коротким и легко запоминающимся человеком. Зачем там и заготовлена вся эта муть со сложными мастер-ключами...
    Только в итоге шило таки как-то вылазит - вся сложность взлома сводится к взлому этого самого "простого пароля" (со всей дурью мощи имеющихся у кого-то средств). А может и к нему даже не сводится, а проще...

     
     
  • 5.45, freehck (ok), 08:07, 06/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > В 99.9% случаев это простенький цифровой пароль из 4-5 символов.
    > не так уж много людей использует пароли вида 3Jk0aSVb, потому что их не очень просто запомнить.
    > Эти "безопасники" специально заботливо заготовили всё так, чтобы иметь дело с простым "входным паролем".

    Отвечу всем троим разом.

    Всех взламывать брутфорсом - это идея, конечно, любопытная, но едва ли осуществимая, и уж точно вряд ли нужная. 99.9% людей спецслужбам не нужны и не поднадобятся почти наверняка. А нужны им как раз те 0.1% народа, которые что-то замысляют, и которые, не будь дураки, ставят себе хорошие длинные пароли.

     
     
  • 6.46, AdVv (ok), 19:14, 06/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >
    > и не поднадобятся почти наверняка. А нужны им как раз те
    > 0.1% народа, которые что-то замысляют, и которые, не будь дураки, ставят
    > себе хорошие длинные пароли.

    Те, кто понимают что к чему, гоняют с Nokia 3310. А то и вообще без телефона.
    Постом выше, вы развели пространные размышления о бесполезности брута. Теперь, когда выясняется, что это срабатывает в 99.9% случаев, вы делаете лицо кирпичем. Если вы думаете, что наркодиллеры и террористы все сплошь криптопанки, то, уверяю вас, это не так. Люди беспечны, знали бы вы на какой мякине прокалываются даже бывалые преступники.


     
     
  • 7.47, freehck (ok), 11:18, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Постом выше, вы развели пространные размышления о бесполезности брута. Теперь, когда выясняется, что это срабатывает в 99.9% случаев, вы делаете лицо кирпичем.

    Фигасе "выясняется". Брутфорс и перебор по словарю, о котором граждане выше размышляли, доказывая свою позицию - несколько разные вещи.

    > Если вы думаете, что наркодиллеры и террористы все сплошь криптопанки, то, уверяю
    > вас, это не так.

    Не надо быть криптопанком, чтобы сообразить, что длинный пароль из случайных символов обезопасит вас сильнее, чем дата рождения или любимый цвет.

    > Люди беспечны, знали бы вы на какой мякине прокалываются даже бывалые преступники.

    Это не означает, что для поимки преступников необходимо жертвовать возможностью пользователей сохранить свою приватность, если они того захотят.

     

  • 1.18, XXXasd (ok), 16:11, 02/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > вместо полной аппаратной изоляции доступа к ключам, обработчик KeyMaster извлекает ключи из SHK и использует их внутри TrustZone

    нет ни какой разницы -- "полностью аппаратно" или же "алгоритм работает внутри TrustZone".

    TrustZone критикуется потому что там нашлись дыры.

    но ведь и "полностью аппаратно" тоже может иметь дыры, не говоря уже о том что размыта граница того что такое на сегодняшний день может называться "аппаратно".

     
     
  • 2.33, Аноним (-), 12:11, 04/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Полностью аппаратно обычно подразумевает лишь то что работу сделает какая-то еще более глубоко зарытая еще более проприетарная прошивка, и не более того.
     

  • 1.21, плохой человек с телефона (?), 17:13, 02/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >в котором на отдельном процессоре

    Неверно. TrustZone не подразумевает отдельный процессор.

     
     
  • 2.34, Аноним (-), 12:14, 04/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Неверно. TrustZone не подразумевает отдельный процессор.

    Квалком однако ж сплошной зонд. Где отдельный процессор сотового модема заодно модет и загрузить проц с гуем на линуксе. Если захочет. О том что этот отдельный процессор с огромной проприетарной прошивкой имеет доступ ко всему - понятно и ежу.

     
     
  • 3.40, Аноним (-), 21:32, 04/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> Неверно. TrustZone не подразумевает отдельный процессор.
    > Квалком однако ж сплошной зонд. Где отдельный процессор сотового модема заодно модет
    > и загрузить проц с гуем на линуксе. Если захочет. О том
    > что этот отдельный процессор с огромной проприетарной прошивкой имеет доступ ко
    > всему - понятно и ежу.

    ага, у них прямо в чипе - линух свой микроядерный елозит ) так что с бэдорами - проблем нету у АНБ ни к сотовым сетям(не только к абоненских устрйоств чипам), ни к роутерам, ни к бытовухе прочей )

     

  • 1.23, Sabakwaka (ok), 20:00, 02/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Через специально подготовленный DRM медиафайл, как всегда.

    100% DRM блоатвера — на сегодня суперуспешно взломано.
    В основном, до рута.

     
  • 1.37, Kodir (ok), 15:54, 04/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да чёрт с ним, с этими зашифрованными селфиками губищщ и задниц! ПОЛЬЗУ какую-то можно из этого извлечь? Например, дешифровать раздел, вырезать с него дрова и запилить собственную прошивку?
     
  • 1.43, Анонимный Алкоголик (ok), 01:17, 06/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Подобный метод также может быть применим спецслужбами, которые могут потребовать у
    > Qualcomm сформировать подписанный код для TrustZone, копирующий ключ на внешний носитель.

    А Qualcomm откажется предоставить код. Ага. И всё это будет расписано и распиарено по телевизорам. Прямо будут герои по защите приватности от ФБР. Apple и Qualcomm :-)

    Между тем как. Фактически всё что они делают - это попросту суют свой мастер-ключ в устройства. Ещё раз: специально суют известный им мастер-ключ на котором вся (якобы) "приватность" фактически и держится. И всячески с пеной у рта и совмстно с ФБР рекламируют якобы защищённость этих своих заведомо прошитых известными им ключами так сказать устройств.
    Собственно злоумышленники отнюдь не будут даже требовать подписанные для TrustZone приложения. Они сразу берут мастер-ключ. Заботливо вшитый лоху во всученное ему  поделие... Для "безопасности". (С Траст Зонами и прочим, к чему лох, которому поделие всучивается, не должен иметь доступа...)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру