电源管理系统存在安全漏洞,黑客可远程攻击

2017 年 8 月 22 日 E安全 E安全编辑部

E安全8月23日讯 最近的USENIX Security Symposium会议上,来自哥伦比亚大学一支专家团队展示了一种新型攻击方法“CLKscrew”,攻击者可利用现代计算设备电源管理系统(Energy Management System)中的漏洞实施远程攻击,并窃取敏感数据。

移动设备电源更应警惕


电源管理是现代计算机中的一项重要功能,尤其移动设备。电源管理有助于延长电池寿命,提高便捷性并降低成本,然而设计此类系统并非易事一桩,其中的功效与安全性往往会被忽略。

专家将ARMv7架构作为研究对象,使用了一款Nexus 6智能手机试验后专家表示,CLKscrew攻击可能也会对其它设备和架构奏效。研究人员分析的电源管理系统使用的是应用广泛的动态电压频率调整(DVFS)技术。

CLKscrew攻击展示了远程黑客如何将恶意内核驱动加载到目标设备,利用DVFS中的安全漏洞入侵ARM Trustzone(ARM信任区)。

专家演示了攻击者如何使用这种方法提取ARM Trustzone的加密密钥,并将自签名代码加载到信任区提升特权。

研究人员认为这类攻击比物理访问设备更有效,因为这类攻击可远程实现,并能绕过物理攻击的诸多要求和限制。

设计缺陷

研究人员在研究报告中写到,CLKscrew攻击只是冰山一角,电源优化技术中可能存在更多安全漏洞,例如电压与频率岛的分布式控制、近阈值/亚阈值优化等。

研究人员指出,分析表明简单、单一、零散的修复方式无法完全防止CLKscrew式的攻击。许多设计决定可能会带来攻击风险,换句话讲,根本原因不是具体的硬件或软件漏洞,而是一系列经过深思熟虑、但缺乏安全考量的设计决策。

注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/1884077168.shtml

相关阅读:

点击阅读原文下载E安全APP

登录查看更多
0

相关内容

USENIX Security:Usenix Security Symposium。 Explanation:Usenix安全专题讨论会。 Publisher:USENIX Association。 SIT: http://dblp.uni-trier.de/db/conf/uss/
【北京大学】面向5G的命名数据网络物联网研究综述
专知会员服务
36+阅读 · 2020年4月26日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
德勤:2020技术趋势报告,120页pdf
专知会员服务
190+阅读 · 2020年3月31日
【中国人民大学】机器学习的隐私保护研究综述
专知会员服务
131+阅读 · 2020年3月25日
【Google】利用AUTOML实现加速感知神经网络设计
专知会员服务
29+阅读 · 2020年3月5日
【综述】基于图的对抗式攻击和防御,附22页论文下载
专知会员服务
68+阅读 · 2020年3月5日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
安全和健壮的医疗机器学习综述,附22页pdf
专知会员服务
46+阅读 · 2020年1月25日
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
华为和其“公关危机”下的5G发布会
1号机器人网
7+阅读 · 2019年1月27日
TensorFlow、Caffe、Torch 三大深度学习框架被存在安全漏洞
安全牛发布《威胁情报市场指南》报告
安全牛
12+阅读 · 2017年7月10日
Arxiv
92+阅读 · 2020年2月28日
Arxiv
35+阅读 · 2019年11月7日
Arxiv
14+阅读 · 2018年4月18日
Arxiv
4+阅读 · 2017年11月4日
VIP会员
相关VIP内容
【北京大学】面向5G的命名数据网络物联网研究综述
专知会员服务
36+阅读 · 2020年4月26日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
德勤:2020技术趋势报告,120页pdf
专知会员服务
190+阅读 · 2020年3月31日
【中国人民大学】机器学习的隐私保护研究综述
专知会员服务
131+阅读 · 2020年3月25日
【Google】利用AUTOML实现加速感知神经网络设计
专知会员服务
29+阅读 · 2020年3月5日
【综述】基于图的对抗式攻击和防御,附22页论文下载
专知会员服务
68+阅读 · 2020年3月5日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
安全和健壮的医疗机器学习综述,附22页pdf
专知会员服务
46+阅读 · 2020年1月25日
相关资讯
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
华为和其“公关危机”下的5G发布会
1号机器人网
7+阅读 · 2019年1月27日
TensorFlow、Caffe、Torch 三大深度学习框架被存在安全漏洞
安全牛发布《威胁情报市场指南》报告
安全牛
12+阅读 · 2017年7月10日
Top
微信扫码咨询专知VIP会员