摘要:可信执行环境(TEE)已广泛部署,尤其是在智能手机上。 TEE发展的最新趋势是从供应商控制的单一用途TEE过渡到开放TEE,这些TEE托管来自多个来源且具有独立任务的可信应用程序(TA)。预计此过渡将创建一个TA生态系统,为在Rich Execution Environment(REE)中运行的应用和操作系统提供更强大的自定义安全性。但是,这种过渡也带来了两个安全挑战:由于TA和TEE的复杂性增加而导致攻击面的扩大; TA和TEE之间缺乏信任(或孤立)。在本文中,我们首先对近期与TEE相关的CVE和多重TEE方案的需求进行全面分析。然后,我们提出TEEv,一种TEE虚拟化体系结构,它支持同时运行的多个隔离的,受限制的TEE实例(即vTEE)。 TEEv依靠微型管理程序(我们称为TEE-visor),允许来自不同供应商的TEE实例在同一智能手机上独立运行并托管自己的TA。因此,受损的vTEE不会影响其对等方或REE; TA不再必须在不受信任/不合适的TEE中运行。我们已经在开发板和真正的智能手机上实现了TEEv,它只需很小的移植工作即可运行来自不同供应商的多个商业TEE实例。我们的评估结果表明,TEEv可以隔离vTEE,并仅以较小的性能开销即可防御TEE的所有已知攻击。
1、TEE存在漏洞
2、为防御TEE存在的漏洞,提出了TEEv。TEE相关漏洞有以下三个基本类别:
I、TEE漏洞导致秘密数据泄露或任意代码执行。
II、允许一个TA影响其他TA的安全性。
III、可以利用TEE中的漏洞来实现REE中特权的升级。
导致上述漏洞的主要原因之一是,在REE和TEE中运行的应用程序之间存在很多交互,这些交互通常是通过共享内存来完成的。如Machiry等人所述。 [44]:“ TEE对不受信任的环境的安全机制的可见度非常有限”,这被称为TEE与REE之间的“语义鸿沟”。因此,恶意CA(在REE中运行的客户端应用程序)可能会请求TEE覆盖REE内核中的数据。尽管CA本身由于没有特权而不能这样做,但是TEE具有更高的特权,并且可能由于逻辑错误而违反REE的安全机制。
3、VTEE和REE之间以及不同vTEE之间的隔离是由TEE-visor对MMU的独家控制来实施的
4、当前,TEEv无法阻止vTEE内部的这些攻击。 此外,处于vTEE状态的设备状态未通过直通模式正确重置可能会将私有设备数据泄漏给其他vTEE。 但是,这些攻击的影响仅限于在不更改操作或破坏TEEv隔离的情况下泄漏信息。
1775
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
