Nel 2016, la comunità Android si è ripresa da un exploit chiamato Drammer. Drammer ha effettuato il root del tuo dispositivo sfruttando una vulnerabilità. Google ha rapidamente corretto la vulnerabilità, mitigando temporaneamente l'attacco. Sfortunatamente, la correzione di Google ha funzionato per 21 mesi, ma ora abbiamo visto un attacco simile avvenire sotto il nome RAMpage.

Sia Drammer che il nuovo RAMpage utilizzano un exploit "Rowhammer" per eseguire il root del tuo dispositivo Android.

Rowhammer è una classe di exploit che modifica i dati archiviati nei chip di memoria. Per modificare quei dati, gli exploit accederanno ripetutamente alle righe interne di quella memoria, che è dove sono memorizzati i singoli bit. Gli attacchi "martellano" le righe migliaia di volte al secondo, provocando infine il capovolgimento dei bit, cambiando gli 0 in 1 e viceversa.

Abbiamo assistito agli attacchi di Rowhammer contro i PC, che hanno consentito a software per computer non attendibili di ottenere privilegi di sistema completi e persino aggirare le sandbox di sicurezza. Una successiva variante dell'attacco ha consentito ai siti Web infetti di condurre attacchi Rowhammer tramite JavaScript.

Quindi, gli attacchi Rowhammer sono migrati su dispositivi Android. Nel 2016, "Drammer" è stato avvistato mentre attaccava Android utilizzando metodi di attacco simili a quelli usati contro i PC.

Google ha temporaneamente mitigato gli attacchi di Rowhammer contro Android modificando il gestore della memoria ION di Android, "limitando l'accesso alla memoria fisica contigua del kernel", come spiegato da ArsTechnica.

La correzione di Google non doveva essere temporanea. Sfortunatamente, è riemerso un nuovo exploit chiamato RAMpage che utilizza strategie simili a Rowhammer per eseguire il root di Android.

"Ogni telefono cellulare dal 2012" è interessato da RAMpage

RAMpage è stato scoperto da Victor Van der Veen, professore alla Vrije Universiteit Amsterdam, che mercoledì scorso ha pubblicato la sua ricerca in un post sul blog.

Van der Veen ei suoi colleghi riferiscono che RAMpage può influenzare praticamente qualsiasi dispositivo mobile moderno, inclusi telefoni e tablet.

In effetti, "ogni dispositivo mobile [basato su Android] fornito con memoria LPDDR2, LPDDR3 o LPDDR4 è potenzialmente interessato [da RAMpage], che è effettivamente ogni telefono cellulare dal 2012."

Van der Veen ei suoi colleghi hanno testato l'exploit su una serie di dispositivi. Sono stati in grado di ottenere con successo gli attacchi Rowhammer (bit flips) su Nexus 5, Nexus 4 e Google Pixel 1. Tutti e tre i dispositivi utilizzano diversi tipi di RAM (LPDDR2, LPDDR3 o LPDDR4), indicando che l'exploit funziona indipendentemente da la RAM fisica utilizzata.

Van der Veen ha pubblicato i risultati della sua ricerca Qui..

Gli attacchi di root su larga scala sono improbabili

Ogni volta che un numero elevato di dispositivi viene colpito da un exploit, si apre l'opportunità di attacchi su larga scala.

Fortunatamente, Van der Veen afferma che attacchi su larga scala con Rowhammer sono improbabili. Google ha fatto eco al suo sentimento e un portavoce di Google ha rilasciato una dichiarazione sulla posizione ufficiale dell'azienda:

“Abbiamo lavorato a stretto contatto con il team della Vrije Universiteit e, sebbene questa vulnerabilità non sia una preoccupazione pratica per la stragrande maggioranza degli utenti, apprezziamo qualsiasi sforzo per proteggerli e far progredire il campo della ricerca sulla sicurezza. Sebbene riconosciamo la prova teorica del concetto da parte dei ricercatori, non siamo a conoscenza di alcun exploit contro i dispositivi Android ".

Google ha anche aggiunto che i nuovi dispositivi dispongono di protezioni specifiche per Rowhammer. Quindi, sebbene l'exploit possa influenzare i dispositivi realizzati dal 2012, potrebbe non influire sui dispositivi realizzati nel 2018 in poi.

In ogni caso, RAMpage è uno dei pochi exploit basati su Android che potrebbe eseguire il root del tuo dispositivo e causare gravi danni. Fortunatamente, al momento non sembra rappresentare una grave minaccia alla sicurezza per gli utenti Android.