אוריילי, ברית המכשירים הפתוחה
CVE-2018-9442, הידוע בשם RAMpage בתקשורת, עלול להיות בעיה בכל מכשירי אנדרואיד ששוחררו מאז 2012. הפגיעות היא מעט גרסה לבעיית Rowhammer, שמנצלת באג חומרה שנמצא בכרטיסי זיכרון מודרניים. זה כנראה קשור באופן שבו טכנולוגיית הקלטה נדיפה מבוססת מוליכים למחצה עובדת.
חוקרים ערכו בדיקות לפני כמה שנים כיצד משפיעים מחזורי קריאה / כתיבה חוזרים על תאי הזיכרון. כשנשלחו בקשות שוב ושוב לאותה שורת תאים, הפעולות יצרו שדה חשמלי. תיאורטית שדה זה יכול לשנות נתונים המאוחסנים באזורים אחרים של זיכרון RAM.
מה שנקרא שינויים ב- Rowhammer עלולים לגרום לבעיות במחשבים אישיים וגם במכשירי Android. שימוש יצירתי בהם יכול לאפשר ביצוע קוד שרירותי.
באופן ספציפי, הפגיעות של RAMpage עשויה לאפשר היפותטית התקפות מסוג Rowhammer באמצעות מנות רשת וקוד JavaScript. חלק מהמכשירים הניידים לא יוכלו לעבד התקפות אלה כראוי, והם בהחלט אינם חמורים כמו אלה המשתמשים בכרטיסי GPU במחשבים שולחניים. עם זאת, בעיות במודולי זיכרון RAM שנשלחו מאז 2012 נוגעות מספיק כדי שחוקרים עובדים במהירות על הפחתה.
בעוד שמהנדסים של קופרטינו לא היו מודעים למחקר זה באותה תקופה, ההבדלים המהותיים בדרך שתוכננו מכשירי אפל פירושם שמכשירים שמריצים iOS עשויים להיות לא פגיעים כמו מכשירי אנדרואיד. אפליקציה חדשה טוענת שהיא מסוגלת לבדוק אם המכשיר שלך כפוף לפגיעויות אלה וייתכן שהיא תהפוך להורדה פופולרית בשבועות הקרובים.
כמה מומחי אבטחה של יוניקס העלו חשש למצב הנוכחי של אפליקציות אלה. אמנם נראה שהנוכחי הוא כלי מעוצב היטב, אך קיים סיכון שכזה יהיה בעתיד.
התוקפים יכלו לפרסם גרסת קוד פתוח נקייה של אפליקציה עתידית יחד עם קבצים בינאריים שהיו בעלי מעללים. זה יכול לגרום לאנשים בעלי אבטחה להתקין ניצול.
הכלי הנוכחי זמין ממאגרים רשמיים, ומפתחים קוראים למשתמשים להתקין רק כלים כאלה ככל שיהיו זמינים מערוצים אלה. זה מאוד לא סביר שכל דבר שיוצא מהם ייפול קורבן לסוג מסוים זה של הנדסה חברתית.
תגים אבטחת אנדרואיד
