O'Reilly, avatud telefonitorude liit
CVE-2018-9442, mis on meedias tuntud kui RAMpage, võib olla probleem kõigi Android-seadmetega, mis on välja antud alates 2012. aastast. Haavatavus on mõnevõrra Rowhammeri probleemi variant, mis kasutab ära tänapäevastelt mälukaartidelt leitud riistvaraprobleeme. Ilmselt on see seotud pooljuhtpõhise lenduva salvestustehnoloogia toimimisega.
Teadlased viisid paar aastat tagasi läbi katsed selle kohta, kuidas korduvad lugemis- / kirjutamistsüklid mõjutavad mälurakke. Kui samale lahtrireale saadeti ikka ja jälle päringuid, lõid toimingud elektrivälja. See väli võib teoreetiliselt muuta RAM-i teistesse piirkondadesse salvestatud andmeid.
Need nn Rowhammeri muudatused võivad tekitada probleeme nii arvutites kui ka Android-seadmetes. Nende loominguline kasutamine võib lubada suvalise koodi käivitamist.
Täpsemalt võib RAMpage'i haavatavus hüpoteetiliselt lubada Rowhammeri tüüpi rünnakuid võrgupakettide ja JavaScripti koodi abil. Mõni mobiilseade ei suuda neid rünnakuid korralikult töödelda ja need pole kindlasti nii tõsised kui need, mis kasutavad GPU-kaarte lauaarvutites. Sellest hoolimata on probleemid alates 2012. aastast tarnitud RAM-moodulitega piisavalt, et teadlased töötaksid selle leevendamise nimel kiiresti.
Kuigi Cupertino insenerid ei teadnud sel ajal seda uuringut enam kui tõenäoliselt, tähendavad Apple'i seadmete kujundamise põhimõttelised erinevused seda, et iOS-i kasutavad telefonid ei pruugi olla sama haavatavad kui Android-seadmed. Uus rakendus väidab, et suudab testida, kas teie seade on nende turvaaukude all või mitte, ning see võib lähinädalate jooksul populaarseks allalaadimiseks saada.
Mõned Unixi turvaeksperdid on tekitanud muret nende rakenduste praeguse olukorra pärast. Kuigi praegune näib olevat hästi kavandatud tööriist, on oht, et seda tulevikus ei pruugi olla.
Ründajad said postitada tulevase rakenduse puhta avatud lähtekoodiga versiooni koos kahendfailidega, millel oli ärakasutamist. See võib panna turvameelsed isikud kasutama ära.
Praegune tööriist on saadaval ametlikest hoidlatest ja selle arendajad kutsuvad kasutajaid üles installima selliseid tööriistu ainult siis, kui need nendest kanalitest kättesaadavaks muutuvad. On väga ebatõenäoline, et miski, mis neist välja tuleb, satuks selle konkreetse sotsiaalse inseneritüübi ohvriks.
Sildid Androidi turvalisus
