Команда дослідників з США, Австралії та Австрії розробила новий варіант атаки Rowhammer. На відміну від попередніх версій нова атака під назвою RAMBleed дозволяє не тільки модифікувати дані і підвищувати привілеї, а й викрадати збережені на пристрої дані.

Rowhammer – це клас експлойтів для апаратної уразливості (CVE-2019-0174) в сучасних картах пам’яті. За замовчуванням дані в картах пам’яті зберігаються в осередках, розташованих на кремнієвому чипі в рядах, що утворюють сітку. У 2014 році вчені виявили, що багаторазове читання даних, що зберігаються в одному ряду, призводить до виникнення електричного заряду, здатного впливати на дані в сусідніх рядах. Атака отримала назву Rowhammer, і з її допомогою вчені могли або пошкоджувати дані, або використовувати їх в шкідливих цілях.

З 2014 року дослідники суттєво розширили можливості оригінальної атаки, проте вилучити з пам’яті і викрасти дані з її допомогою вдалося тільки зараз.

Для того щоб RAMBleed стала можливою, вченим вдалося змусити розподільник пам’яті Linux (buddy allocator) виділити великий блок пам’яті послідовних фізичних адрес, що дозволив їм переробити атаку. Дослідники створили новий механізм “Frame Feng Shui” для розміщення сторінок програми жертви в потрібному місці фізичної пам’яті. Крім того, вони розробили новий метод управління даними в пам’яті і повтору їх читання (так званий row hammering) для визначення, які дані знаходяться в сусідніх слотах пам’яті.

До речі, застаріле шкідливе програмне забезпечення ICEFOG (інша назва Fucobha), яке вважали таким, що зникло, знову з’явилося в арсеналі кіберзлочинців.

Також за останні кілька років майже 440 мільйонів користувачів Android встановили додатки з Google Play Store, що містять нав’язливу рекламу.

Нагадаємо, що спільна команда дослідників з Віргінського політехнічного інституту, аналітичного центру RAND і компанії Cyentia Institute опублікувала результати цікавого дослідження, з’ясувавши, яка кількість уразливостей, виявлених за останній десяток років, насправді використовувалася у реальних атаках.