Tem um dispositivo Android novo? Você pode estar enfrentando o Ataque RAMpage

A RAMpage é uma vulnerabilidade recente que ultrapassa todas as medidas de segurança postas em prática para proteger dispositivos Android contra o ataque de Rowhammer . Pode ganhar privilégios de root para um dispositivo Android e roubar todos os dados disponíveis nele.

Para entender melhor o ataque à RAM, precisamos primeiro entender a vulnerabilidade da memória dinâmica de acesso aleatório (DRAM) Rowhammer e o ataque Drammer.

Vulnerabilidade DRAM Rowhammer

A vulnerabilidade do Rowhammer causou um estrago em 2012 e envolve um problema com os últimos chips DRAM. Quando uma linha de memória é acessada de forma rápida e contínua – ou “martelada” -, linhas adjacentes de memória podem sofrer inversões de bits. Por exemplo, os cibercriminosos podem transformar bits de 0 a 1 ou vice-versa, em busca da exploração dessa vulnerabilidade.

Pesquisadores do Google demonstraram a eficácia com que esta vulnerabilidade pode ser explorada com a introdução do ataque de dupla face Rowhammer, que dobra as chances de uma fileira experimentar bits de bits, martelando-a de duas direções diferentes. Claro, nem todos os ataques de Rowhammer são bem sucedidos; Sempre há potencial para que um pequeno flip corrompa os dados que os cibercriminosos estão tentando roubar.

Simplificando, um ataque de Rowhammer é uma pequena reviravolta de memória.

Ataque Drammer

O ataque do Drammer foi a primeira exploração oficial da vulnerabilidade do Rowhammer, que foi concluída usando um aplicativo malicioso que rodava em dispositivos Android sem quaisquer permissões ou vulnerabilidades de aplicativos.

O ataque Drammer utiliza acesso direto à memória (DMA), oferecido pelo gerenciador de memória ION do Android. O DMA permite acesso direto ao local da memória sem acessar o cache da CPU, o que torna rápido e fácil martelar em uma linha de memória. Outra vantagem do Drammer é a maneira como o ION organiza a memória contígua. O heap kmalloc (um dos vários heaps do kernel) foi projetado para dividir a memória fisicamente adjacente, mas isso simplesmente mostrou aos atacantes como os endereços físicos e virtuais estavam conectados.

Solução alternativa do Google para Drammer

Depois de analisar os recursos do Drammer, o Google lançou uma atualização para o Android que desativava a função de memória contígua do ION, que afetava a exploração da vulnerabilidade de Rowhammer por Drammer.

Agora, qual é o ataque RAMpage?

Depois de todas as atenuações para Rowhammer, os pesquisadores de segurança identificaram outra ameaça chamada RAMpage. Abaixo estão alguns cenários que criam o ambiente ideal para a RAMpage violar uma rede.

Pesquisadores afirmaram que existem três variantes da RAMpage. Essas vulnerabilidades não são fáceis de explorar, e os cibercriminosos precisariam de uma boa quantidade de conhecimento para explorar qualquer uma das três variantes da RAMpage, mas isso não significa que você deva baixar a guarda. Há muitos cibercriminosos com todo o know-how de que precisam para realizar o trabalho.

Como combater a RAMpage

Os pesquisadores vêm-se com uma solução chamada GuardION, que introduz linhas fictícias ou de guarda para isolar os buffers de DMA.

O GuardION é um patch para sistemas operacionais Android que modifica o processo de memória do ION, introduzindo linhas vazias na frente e atrás da linha desejada, tornando os esforços da RAMpage ineficazes.

GuardION vem com um preço

A instalação do GuardION pode afetar negativamente o desempenho do seu dispositivo, pois a introdução de linhas em branco consome a DRAM.

Qual é o melhor conselho para atenuar a RAMpage?

A RAMpage não pode ser identificada ou detectada, mas evitar o download de aplicativos de fontes desconhecidas pode ajudá-lo a evitar a RAM. No entanto, como qualquer administrador de sistema pode atestar, é mais fácil falar do que fazer. Mesmo depois de educar os usuários sobre os perigos de baixar jogos ou aplicativos anônimos, isso ainda acontece, o que significa que o risco de RAMpage está sempre presente.

Empregar uma solução de gerenciamento de dispositivo móvel (MDM) pode ajudá-lo a mitigar a RAM com facilidade. Com o Mobile Device Manager Plus, nossa solução MDM abrangente, você pode colocar aplicativos na lista negra e na lista de permissões, para que os usuários possam baixar apenas os aplicativos em que você confia. Em vez de implantar o patch GuardION, os aplicativos de blacklist podem ser uma forma eficaz de combate contra o ataque RAMpage.

Transfira o Mobile Device Manager Plus para reduzir a RAM sem abrandar os seus dispositivos Android.

Deixe um comentário

Blog ACSoftware - ManageEngine