Google Titan M 晶片爆漏洞 加密金鑰恐遭洩漏

安全廠商 Quarkslab 公佈今年稍早發現的 Google Titan M 晶片上一個可洩露加密金鑰的重大漏洞。

Titan M 是 Google 於 2018 年設計強化 Pixel 裝置安全性的系統單晶片，提供包括安全開機等功能。

QuarksLabs 研究人員分別在 6 月的 TROOPERS 大會及上周的 Black Hat USA 大會上公佈其發現。QuarksLab 揭露的 CVE-2022-20233，為一重大權限升級漏洞，Google 已在今年 6 月的 Android 安全更新修補。

這項漏洞為一界外寫入漏洞，發生在界限檢查不確實，不需使用者互動即可成功開採，造成本地權限升級 (local escalation of privilege)。

QuarksLabs 是在對 Titan M 進行模糊測試時，觀察到韌體試圖在一個未對映 (unmapped) 的記憶體區寫入 1 byte 資料，造成晶片崩潰而發現該漏洞，而且這個漏洞可以被觸發多次達成越界寫入 (out-of-bounds writes)。

安全研究人員指出，Titan M 的記憶體是完全靜態的，但他們必須直接連到 Titan M 暴露出來的 UART 控制台，才能存取除錯的 log，並開發開採程式。

Quarkslabs 研究人員建立了開採程式，讓他們得以讀取晶片上的任意記憶體，使其洩露出晶片上儲存的機密（如 Titan M 更新時，Pixel 啟動程式發送的硬體信任根 (root of trust，RoT)），甚至還能存取開機 ROM。

研究人員指出，「最有意思的結果是取得 Titan M 晶片內儲存加密金鑰的 StrongBox 所保護的金鑰，突破 Android Keystore（用於儲存加密金鑰的安全區）的最高層級防護。和 TrustZone 一樣，這些金鑰只能用於 Titan M 內，但卻是儲存在裝置上的加密金鑰區。」

研究人員 3 月通報 Google 後，Google 一開始頒發 1 萬美元抓漏獎金，但經過安全廠商提供概念驗證攻擊程式，展示程式碼攻擊及外洩金鑰後，Google 進一步將獎金提高到 7.5 萬美元。

來源：SecurityWeek