LINUX.ORG.RU

О второй операционной системе в каждом мобильном телефоне

 


0

2

Опубликован русскоязычный перевод статьи «The second operating system hiding in every mobile phone», в которой освещен вопрос безопасности современных средств связи, рассмотрены сценарии атаки, приведена оценка качества встроенного ПО.

Русскоязычная версия

>>> Англоязычный оригинал

★★★★★

Проверено: Shaman007 ()
Последнее исправление: Shaman007 (всего исправлений: 4)
Ответ на: комментарий от user_id_68054

От клавы события атомарные: нажатие, отпускание. А с модулем многие события растянуты во времени и разбиты на операции.

ziemin ★★
()
Ответ на: комментарий от user_id_68054

ээээ... а что не так с системой прерываний? :)

Наоборот. Всё норм. ЦП с основной осью не является слэйвом. Да, его работу можно прервать, но не диктовать ему что делать - это может решить уже ОндроЕд в своём обработчике int`а

drfaust ★★★★★
()
Ответ на: комментарий от ziemin

А с модулем многие события растянуты во времени и разбиты на операции.

А работа с веником, сетевой картой или PCI-платами сбора данных? Некоторые весчи просто засыпают проц прерываниями (COM-порт тот же)

drfaust ★★★★★
()
Ответ на: Intel Atom — также? от user_id_68054

но вот главный мой вопрос — почему GSM-модем является главным чипом, а чип с Android — является подчинённым? по смыслу ведь всё наоборот должно быть?

Формулировка «главный» отдаёт желтизной. GSM-модем должен отдавать сравнительно большой объём данных, поэтому логично было для него реализовать прямой доступ к памяти «большого» процессора. Собственно такая же ситуация и платами расширения в ПК. Злобная прошивка в сетевом адаптере вполне может слить содержимое некоторых частей ОЗУ в сеть. Или просто испоганить их.

i-rinat ★★★★★
()
Ответ на: комментарий от i-rinat

поэтому логично было для него реализовать прямой доступ к памяти «большого» процессора

ну главное чтобы доступ был бы не ко всей памяти — а только к какому-то определённому кусочку :) ..

нет такой возможности — аппаратно установить лимиты для шины памяти?

чтобы для каждого подключения к шине — были бы выставленны свои отдельные лимиты на адресное пространтво.

при чём зашить эти лимиты в шину памяти — НЕ потому что якобы «мы не доверяем всяким там чипам с их проприетарной прошивкой, при сотрудничестве с АНБ»

а потому что «в случае сбоя железка могла бы повредить чужой участок памяти, и эту ситуацию будет довольно сложно отладить»

user_id_68054 ★★★★★
()
Последнее исправление: user_id_68054 (всего исправлений: 1)
Ответ на: комментарий от i-rinat

Злобная прошивка в сетевом адаптере вполне может слить содержимое некоторых частей ОЗУ в сеть.

Ну так DMA-контроллёр должон подчиняться основному процу. Если он запрограммирован на определённый диапазон физ. памяти, то как внешний девайс (PCI-сетевая) смогёт вылезти за пределы ентого диапазона? Перепрограммирует DMA-контроллер?

drfaust ★★★★★
()
Ответ на: комментарий от drfaust

Если он запрограммирован на определённый диапазон физ. памяти, то как внешний девайс (PCI-сетевая) смогёт вылезти за пределы ентого диапазона? Перепрограммирует DMA-контроллер?

DMA-контроллеры расположен на той же PCI-карте, так что без проблем (и, кстати, это иногда используется). Если нет IOMMU, программа на PCI-устройстве с DMA-контроллером может делать с памятью что угодно.

tailgunner ★★★★★
()
Последнее исправление: tailgunner (всего исправлений: 1)
Ответ на: комментарий от i-rinat

Злобная прошивка в сетевом адаптере вполне может слить содержимое некоторых частей ОЗУ в сеть. Или просто испоганить их.

тыг это же золотая жила для АНБ! не нужно внедлять дыры в Linux-ядро.. не нужно внедрять дыры в стандартны шифрования..

неужели так сложно подкупить всех основных производителей сетевых контроллеров (и интегрированных чипов), чтобы они начали бы повнедрять бэкдор в прошивки?

или такое уже используется?

user_id_68054 ★★★★★
()
Ответ на: комментарий от i-rinat

http://www.hermann-uwe.de/blog/physical-memory-attacks-via-firewire-dma-part-...

Ну тут уже предлагался простой и эффективнейший способ - обрезать для «подозрительного» девайса адресную шину. А ещё лучше повесить его на к-либо последовательную шину, вроде usb

drfaust ★★★★★
()
Ответ на: комментарий от i-rinat

ну хотя, да, подкупить Линуса [лишь только его одного] — может оно и дешевле вышло бы :)

хотя это нарушило бы Закон Линуса.. и кстате это было бы очень парадоксально!

user_id_68054 ★★★★★
()
Последнее исправление: user_id_68054 (всего исправлений: 1)
Ответ на: комментарий от vitalif

Но вообще да, отсутствие открытого радио это серьёзная недоработка.

Это не просто недоработка. Вполне возможно, что это сознательно так придумано. Чтобы не было неподконтрольных массовых систем.

cvs-255 ★★★★★
()
Последнее исправление: cvs-255 (всего исправлений: 1)
Ответ на: комментарий от belkabelka

давненько читал про приоритет команд gsm чипов над всем остальным

А если подключать GSM к CPU через, например, usb?

cvs-255 ★★★★★
()

Оу

Кто-нибудь уже ставил на YotaPhone винду второй системой или Ubuntu Mobile?

Woofywoof
()
Ответ на: комментарий от cvs-255

Это не просто недоработка. Вполне возможно, что это сознательно так придумано.

«Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью.»

i-rinat ★★★★★
()
Ответ на: комментарий от vitalif

нужно пилить свободное радио под GPL

А потом предстоит куда более сложная задача - получить на это свободное радио сертификат.

cvs-255 ★★★★★
()
Ответ на: комментарий от cvs-255

Это не просто недоработка. Вполне возможно, что это сознательно так придумано. Чтобы не было неподконтрольных массовых систем.

Тут проблема глобальнее - Сами сетевые операторы с их GSM представляют главную опасность. Единственный выход - использовать только интернет, а поверх его ip-телефонию (ну канал связи защитить легче, чем защититься от прослушки опсосами)

drfaust ★★★★★
()
Ответ на: комментарий от i-rinat

Никогда не используйте эмпирическое наблюдение в качестве строго доказательства.

cvs-255 ★★★★★
()

Да ладно, подумаешь, какие пустяки.

Тут вот
ARM готов для серверов. Энтерпрайз будущего на марше
коллега alexst описал, по-сути, еще одну операционку, в которой на arm-ах работает всё, что принято считать открытым и безопасным.
Т.е. линукс работает даже не на slave процессоре, а в мониторе Trust Zone, который работает на slave-процессоре.

scott_tiger ★★★
()
Ответ на: комментарий от i-rinat

поэтому логично было для него реализовать прямой доступ к памяти «большого» процессора

логично дать доступ к некоторой части, специально выделенной под буфер

cvs-255 ★★★★★
()
Ответ на: комментарий от scott_tiger

Да ладно, подумаешь, какие пустяки.

Цимес этих «пустяков» - в том, что они взламываемы снаружи. TrustZone при всей своей банальной сучности всё же не доступна по радио.

tailgunner ★★★★★
()
Ответ на: комментарий от i-rinat

Есть, IOMMU называется.

Можно даже проще сделать. Направлять нужный диапазон не на чип DRAM, а на буфер.

cvs-255 ★★★★★
()
Ответ на: комментарий от cvs-255

логично дать доступ к некоторой части, специально выделенной под буфер

Это увеличивает сложность, а следовательно и затраты на разработку/производство, не принося при этом значительной прибыли.

i-rinat ★★★★★
()
Ответ на: комментарий от scott_tiger

отлично! в теме тот человек, который нам нужен.. (ну или почти)

коллега alexst описал, по-сути, еще одну операционку, в которой на arm-ах работает всё, что принято считать открытым и безопасным.

вот проблема которая затронута в ARM готов для серверов. Энтерпрайз будущего на марше — этой проблеме — подвержаны только ARM (?), или телефонный Intel Atom — тоже будет создавать такие же извращения?

(...монитор TrustZone и прочии страшные штуки...)

user_id_68054 ★★★★★
()
Последнее исправление: user_id_68054 (всего исправлений: 1)
Ответ на: комментарий от user_id_68054

неужели так сложно подкупить всех основных производителей сетевых контроллеров (и интегрированных чипов), чтобы они начали бы повнедрять бэкдор в прошивки?

А ты думаешь, почему США отказалась от дальнейших закупок у Huawei?

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

А ты думаешь, почему США отказалась от дальнейших закупок у Huawei?

Гы. Не хватило «зелёных» перекупить хуавейевцев у китайского правительства?

drfaust ★★★★★
()
Ответ на: комментарий от user_id_68054

отлично! в теме тот человек, который нам нужен.. (ну или почти)

Нет, я не тот. Тот - alexst.

scott_tiger ★★★
()

Напомнило тот древний скандал с четвёртыми «пнями». В них был модуль, которой стучит интелу. Не знаю чем дело кончилось, но запасной «честный» третье-пень лежит досихпор.

anonymous
()
Ответ на: комментарий от drfaust

Гы. Не хватило «зелёных» перекупить хуавейевцев у китайского правительства?

Некоторое время назад читал статью о китайских спецслужбах и методах внешней разведки. Так вот вполне возможно что хуавейцы - они сами отчасти китайское правительство. Потому как в соответствии с идеалами коммунизма народ и партия едины. А с предателями светлых идеалов в свободной коммунистической стране разговор короткий.

scott_tiger ★★★
()
Последнее исправление: scott_tiger (всего исправлений: 1)
Ответ на: комментарий от Aceler

А ты думаешь, почему США отказалась от дальнейших закупок у Huawei?

Чтобы американские денежки платились американским компаниям?

tailgunner ★★★★★
()
Ответ на: комментарий от tailgunner

Цимес этих «пустяков» - в том, что они взламываемы снаружи.

Согласен, порядок «пустячности» стоит поменять. Но в целом это картину не меняет: «пользовательская ОС» работает на устройстве с возможностью удаленного управления, в мониторе, ограничивающем ее права,

scott_tiger ★★★
()
Ответ на: комментарий от Terminal_Velocity

Вы прослушали комментарий «как прочитать новость, ничего не понять и громко газануть в лужу».

Deleted
()
Ответ на: комментарий от crowbar

В принципе - возможен. Как один из вариантов - отмена патентов и закон, обязывающий открыть код. Маловероятная возможность, но она показывает принципиальную возможность.

ForwardToMars
()

Dobroe utro...

anonymous
()

Ничего нового не узнал. Любой анонимус в курсе, что конфиденциальную информацию можно передавать только в бункере обнесенном стальной сеткой с мелкой ячейкой.

lucky_guy ★★★
()

решето

где тег решето?!

anonymous
()
Ответ на: комментарий от scott_tiger

я уже давно об этом всем говорю. вообще, надо понимать, что большинство ARM SoC разработано с учётом пожеланий военных или медиаиндустрии, и конечный пользователь считается врагом.

в старых квалкоммах (MSM7200A) загрузка начиналась с BP, на котором та самая AMSS. При этом у него общая оперативная память с AP, а если AP залезает в «запрещенную» область - ребут обоих процессоров. Ну и на все девайсы бит, определяющий владельца - AP или BP. Всё, конечно же, во власти модема (BP), а обычный процессор управляет всем через RPC запросы к BP. Самый прикол был в том, что на MSM720xA AP (процессор, где линукс и юзер-враг) имел доступ на запись к регистрам, управляющим доступом в RAM и NAND, и мог на ура заовнить всю эту «систему безопасности» и записать в NAND похаканный бутлодер. Я до сих пор не знаю, был ли это злой умысел (бекдор) или тупость, но судя по исходникам AMSS, там просто бардак и наслоения легаси (генерация кода по таблицам регистров и файлы с 10 вложенными ifdef'ами), и могли просто и не заметить.

Впрочем, когда со всей этой херней их погнали ссаными тряпками из ванильного ядра и стали поливать грязью в блогах, ситуация слегка улучшилась, и сейчас, в новых SoC, большая часть периферии под контролем AP, а модем можно даже не загружать. Хотя, наверное, всё дело в том, что появились TrustZone и IOMMU.

Сейчас, на TI OMAP4, Samsung Exynos, Nvidia Tegra - всё очень серьезно. Загрузка начинается с кода в OTP (одноразово программируемая память внутри процессора), который инициализирует eMMC/USB и принимает подписанный загрузчик. Это всё называется модным словосочетанием chain of trust (хотя я бы назвал это distrust). Но, дырки есть везде. В Google Galaxy Nexus, например, этот загрузчик не проверял подпись кода, который грузил. Есть ссылки на то, как ломали код в TrustZone на мотороле.

В рамках проектов OpenMoko и Replicant мы подготовили список телефонов с уровнем «свободности». Моя позиция тут такова - проприетарные фирмвари в виде блобов, которые грузит линукс не хуже (а даже лучше), чем девайсы, которым не нужна фирмварь. Если она не нужна - значит, лежит в EEPROM, и хрен вы её поизучаете. Ну и если девайс не может делать DMA в память (он хотя бы отгорожен IOMMU, а лучше - подключен по шине типа USB, I2C, HSIC) - то меня несвободность прошивки не волнует.

http://redmine.replicant.us/projects/replicant/wiki/TargetsEvaluation

кому интересно - в X86 тоже есть аналогичные решения. Например, режим работы процессора SMM, у которого привилегии выше, чем у гипервизора для VT-X. При этом есть SMM Monitor, и возможность сделать кастомную реализацию (если вы пишете BIOS для платы).

alexst
()
Ответ на: комментарий от alexst

ты реально крут, чувак...я половину даже не понял...

mbivanyuk ★★★★★
()

А разве Se for Android (это selinux для андроид) от таких проблем не избавляет?

disee ★★★
()
Последнее исправление: disee (всего исправлений: 1)

приведена оценка качества встроенного ПО.

справедливости ради, ничего кроме заявления, что оно насквозь дырявое, по ссылке нет

cvs-255 ★★★★★
()
Ответ на: комментарий от cvs-255

справедливости ради, ничего кроме заявления, что оно насквозь дырявое, по ссылке нет

Это было понятно даже из названия. Направленность на ликбез-страшилку.

Sadler ★★★
()
Ответ на: комментарий от user_id_68054

теперь Столманоненависники бьются в конвульсиях, или пытаются делать вид что не видят этого сообщения

Эдак скоро окажется, что и мозолеедение было оправданным, и нужным занятием. Как страшно жить!!!

one_more_hokum ★★★
()

И что? 20 лет пользовались мобилками и ничего. А тут услышали про опенсорс и понеслось, прям срыв покрывал. В Багдаде все спокойно, софт был и будет дырявым в угоду АНБ и ЦРУ. Думаете, что опен сорс что-то изменит? Наивные, вспомните, что стало с Lavabit — прижмут к стенке, назовут врагом государства и все. Опен сорс в нынешнем мире дает лишь иллюзию идеального мира. Люди, которые захотят выжить будут либо лгать, либо уходить, либо бороться с системой, перестав делать то, что хотели сделать.

gh0stwizard ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.