Rampage: Speicherangriff ermöglicht Adminrechte ab Android 4.0

Forscher haben einen neuen Weg präsentiert, um den Speicher von Android-Smartphones ab Version 4.0 des Betriebssystems zu manipulieren und sich so root-Rechte auf dem Gerät zu verschaffen. Der Angriff ist komplex, aber grundsätzlich auf jedem Gerät möglich.

Die im Paper „GuardION: Practical Mitigation of DMA-based Rowhammer Attacks on ARM (PDF)“ beschriebene Attacke namens RAMpage besteht aus einer Kombination mehrerer DMA-basierter Rowhammer-Angriffe und beinhaltet neben einem root-Exploit auch eine Serie von App-zu-App-Angriffen, die alle Schutzmechanismen des Systems umgehen.

Speicherzugriffe verändern benachbarten Speicher

Bei den Rowhammer-Angriffen greifen die Forscher wiederholt sehr schnell gezielt auf Speicherbereiche zu, um direkt benachbarte Speicherbereiche, auf die sie eigentlich keinen Zugriff haben, zu manipulieren und sich so root-Rechte zu verschaffen. Die Wahrscheinlichkeit, so genau den Speicher in der Weise zu verändern, wie sie gewünscht ist, ist jedoch gering. Die grundlegende Rowhammer-Technik ist nicht neu, Google hatte deshalb bereits die Speicherallokation im System angepasst. Diese Schutzmaßnahmen werden von dem neuen Angriff jedoch erfolgreich umgangen.

Android-Schutzsystem ION als Angriffsziel

Rampage kann, so das Team aus internationalen Forschern von der University of California, Santa Barbara, der Freien Universität Amsterdam, der Amrita University India und des Eurecom, auf jedem Android-Smartphone seit Android 4.0 Ice Cream Sandwich zum Einsatz kommen. Mit Android 4.0 hatte Google ION eingeführt, das gerade den Speicherzugriff zwischen Apps untereinander verhindern soll und seither Teil des Sicherheitssystems von Android ist. ION ist nun jedoch Ziel der Rampage-Attacke, da es festlegt, auf welchen Teil des Systemspeichers eine Anwendung Zugriff hat.

GuardION verhindert RAMpage

Neben dem Angriff selbst zeigen die Forscher mit GuardION aber auch einen Weg auf, wie die Sicherheitslücke geschlossen werden kann, indem zwischen den Speicherbereichen Schutzbereiche eingeführt werden, die den Zugriff auf benachbarte Bereiche verhindern. Sie zeigen auch, dass der dadurch entstehende Speicher-Overhead vernachlässigbar ist und sich die Leistung durch das Zurücknehmen bereits eingeführter Schutzmechanismen von Google sogar wieder erhöhen ließe. Allerdings schützt auch GuardION nicht generell vor Rowhammer-Angriffen, sondern nur gegen die Rampage-Variante.

Damit ihre Lösung dennoch möglichst schnell und umfassend eingesetzt wird, haben die Forscher sie in quelloffener Form veröffentlicht und bereits an Google weitergegeben, in der Hoffnung, dass das Unternehmen diese in neuen Android-Versionen übernimmt.

ECC-Speicher verhindert Rowhammer

Auf Hardware-Seite ließe sich ein Schutz gegen Rowhammer-Angriffe nur durch den Einsatz von ECC-Speicher erzielen, der in Smartphones jedoch nicht eingesetzt wird und auch keinen nachträglichen Schutz bieten kann. Deshalb brauche es Softwarelösungen, so die Forscher.