Arm 上周五发表声明称,对其基于 TrustZone 的 Cortex-M 系统的成功侧信道攻击(side-channel attack)“并不意味着该架构提供的保护失败”。
“Armv8-M 架构的安全扩展并不意味着可以防止由于控制流或内存访问模式引起的侧信道攻击。实际上,此类攻击并非特定于 Armv8-M 架构;它们可能适用于任何代码,依赖于密码的控制流或内存访问模式。”Arm说道。
Arm 在上周的 Black Hat Asia infosec 会议上发表了一份声明——题为“把你的秘密交给我,MCU!对微控制器的微架构定时攻击是实用的”——声称该芯片设计公司的微控制器容易受到侧信道攻击。
基于 2018 年发现的 Spectre 和 Meltdown——英特尔 CPU 架构漏洞打开了微架构瞬态侧信道攻击的潘多拉盒子——来自葡萄牙米尼奥大学 (UdM) 的研究人员成功着手证明 MCU 存在类似风险的攻击。
从历史上看,微架构攻击主要影响服务器、PC 和移动设备。 由于系统简单,像 Arm 的 Cortex-M 这样的微控制器 (MCU) 不太可能成为目标。 然而,成功的攻击将产生重大后果,因为正如 UdM 研究人员 Sandro Pinto 和 Cristiano Rodrigues 上周五在亚洲黑帽大会上解释的那样,几乎每个物联网设备中都可以找到 MCU。
研究人员将他们的发现称为针对 MCU 的首个微架构侧信道攻击,侧信道攻击是一种使用观察来恢复或窃取系统信息的技术,从而绕过 CPU 内存隔离保护。
研究人员概述攻击利用了通过总线互连仲裁逻辑暴露的时序差异。当 MCU 内的两个总线主控器(例如 CPU 和直接内存访问 (DMA) )发出事务以访问内存中的值时,总线互连无法同时处理两者。它优先处理一个并延迟另一个。
研究人员使用这种逻辑来观察准备破坏的应用程序——在本例中是与智能锁中受信任键盘接口的受信任应用程序——被延迟了多少,从而推断出密码PIN。
通过使用外围设备在后台独立于 CPU 自动执行间谍逻辑,该过程实现了自动化。
Arm 在 MCU、CPU和总线互连设计方面拥有巨大的市场份额。其 TrustZone-M 技术与其他措施结合起来,为整个 MCU 提供防篡改保护——包括侧信道攻击。 至少,Arm 旨在让此类攻击变得“不经济”。
但在亚洲黑帽大会上,研究人员对 Arm 的说法提出异议。
“我们基本上可以打破 Arm MCU 中的所有安全隔离保证,包括采用 TEE TrustZone-M 技术的最先进技术,”Pinto 告诉 The Register。
研究人员已向 Tf-m 和 STMicroelectronics 以及 Arm 披露了黑客攻击信息。
Rodrigues 和 Pinot 表示,Tf-m 承认了黑客攻击,但表示其根本原因是内存跟踪问题,因此应用程序有问题。 STMicroelectronics 也将矛头指向了 Arm 和一个应用程序。 与此同时,Arm 告诉团队,侧信道攻击不在威胁模型之内,其安全性符合行业标准——Pinto 表示英特尔最初在 Spectre 和 Meltdown 消息传出时也尝试使用这一策略。
“我们有点同意 Tf-m。”Pinto 说,他还指出 Arm 实施必要的改变成本很高。
Arm 在其声明中建议,可以通过确保程序的控制流和内存访问模式不依赖于保密状态来减轻攻击。
“这已经是加密库等安全关键代码中的一个常见功能。”Arm 说。
“Arm 致力于提高安全性并使生态系统能够构建更安全的解决方案。这方面的一个例子是 Armv8.1-M 架构中引入的‘Data Independent Timing’功能。尽管该功能并不能减轻所提到的特定攻击,但它有助于防止依赖于数据的时序侧信道攻击。”Arm补充道。
研究人员透露,如果他们能够在没有秘密依赖内存路径的应用程序中展示类似的攻击变体,他们或许能够改变Arm的想法。
“这是我们现在的主要动力和挑战。”Pinto告诉 The Register.