标签:space cloud 开始 使用 WebG Linux虚拟机 攻击 交互 javascrip
来自阿姆斯特丹Vrije Universiteit的研究人员已经证明,使用Rowhammer攻击可以远程破解Android手机。
什么是Rowhammer攻击?
“Rowhammer攻击目标是DRAM内存的设计。在DRAM刷新不充分的系统上,一行DRAM存储器上的目标操作可能会影响相邻行的存储器值 ”,卡内基梅隆大学软件工程研究所(SEI)的CERT部门简洁地解释道。
这种攻击的结果是物理内存中的一个或多个比特(在这种情况下是GPU内存)的值被翻转,并且可能提供对目标系统的新访问。
之前已经针对本地机器,远程机器和云服务器上的Linux虚拟机演示了成功的Rowhammer攻击。
GLitch攻击
研究人员将他们的攻击称为“GLitch”,因为它利用WebGL(一种用于在Web浏览器中呈现交互式图形的JavaScript API)在开始目标Rowhammer攻击之前确定DRAM内存的物理内存布局。
通过欺骗用户访问托管恶意JavaScript的网站,可以攻击易受攻击的智能手机。成功的利用会导致恶意代码在设备上运行,但这只是在浏览器的权限之内,这意味着设备的完全泄露是不可能的,但密码窃取是可能的。
研究部门指出:“将侧通道攻击和rowhammer攻击相结合的影响已被证明可以绕过Android平台上的Firefox沙盒。”
“重要的是要认识到,GLitch攻击只在2013年发布的Nexus 5手机上得到了成功展示.Nexus 5手机在2015年10月收到了其最新的软件安全更新,因此这是一款已经不安全的设备。2013年发布的其他几款手机已经过测试,但未能成功受到GLitch攻击的攻击。”
研究人员告诉 Wired,攻击可以修改为针对不同的电话架构和不同的浏览器。
为了减轻这种特殊攻击的风险,Google和Mozilla已经发布了针对Chrome和Firefox的更新,这些更新禁用了用于泄漏内存地址的高精度WebGL定时器。
标签:space cloud 开始 使用 WebG Linux虚拟机 攻击 交互 javascrip
原文地址:https://www.cnblogs.com/ydaq/p/9067162.html
