目录
5.1 端点在直接请求/响应调用中模拟发送方或接收方FF-A ID
5.4 攻击者可能试图通过使用外部DRAM stress技术注入错误
5.7 恶意端点可能试图通过使用无效或不正确的输入参数来提取数据或状态信息
5.8 恶意端点可能伪造直接消息请求,从而通过直接消息响应揭示另一个端点的内部状态
5.10 恶意代理可能会尝试使用基于软件的cache侧信道攻击技术来泄露SPMC状态或秘密
5.11 恶意端点可能会尝试向SPMC发送针对端点内某个服务的请求,从而拒绝另一个端点访问该服务
5.12 恶意端点可能会尝试通过FFA_NOTIFICATION_BITMAP_CREATE在SPMC中分配通知位图
5.13 恶意端点可能试图通过FFA_NOTIFICATION_BITMAP_DESTROY销毁SPMC中的通知位图
5.14 恶意端点可能会尝试使用FF-A调用FFA_NOTIFICATION_BIND向非预期发送方授予权限,以设置针对另一个接收方的通知
5.17 恶意分区端点可能会尝试通过FFA_NOTIFICATION_INFO_GET调用获取关于挂起通知的信息
5.18 恶意分区端点可能会尝试向另一个分区端点发送通知,阻碍其操作
5.19 恶意端点可能滥用FFA_RUN调用来恢复或打开其他端点执行上下文,试图更改SPMC和sp的内部状态,从而可能导致非法状态转换和死锁
5.20 恶意端点可以通过使用FFA_INTERRUPT调用来执行拒绝服务攻击
5.21 恶意安全端点可能会deactivate(虚拟)安全中断,该中断并不是SPMC发出的信号,从而试图改变SPMC的状态,并可能导致系统崩溃
5.22 恶意的安全端点可能不会deactive SPMC向它发出的虚拟中断信号,而是执行安全中断信号完成。这种破坏SPMC内部状态的尝试可能导致未知状态,并进一步导致系统崩溃
5.23 恶意端点可以利用非安全中断抢占安全端点,从而试图使其无法处理针对它的安全虚拟中断
5.24 安全端点依赖于CPU周期的主调度器。恶意端点可能会延迟安全端点的调度。如果不及时处理安全中断,可能会危及SP和SPMC的状态,从而使系统无响应
5.25 恶意的FF-A端点可以使用内存共享调用来耗尽SPMC资源
5.26 如果由于致命错误而终止,而没有释放共享/出借的内存,则借用方可能会干扰出借方的操作
5.27 恶意的FF-A端点可能试图篡改共享/出借内存的内容,同时被其他FF-A端点访问
5.28 恶意的FF-A端点可能会尝试共享不在其翻译机制中的内存,或者尝试指定比它在给定时间拥有的属性更宽松的属性
一、简介
本文提供了TF-ASecure Partition Manager(SPM)实现的威胁模型,或者更一般地说,是运行在实现了FEAT_SEL2(以前称为Armv8.4 Secure EL2)体系结构扩展的系统上的S-EL2参考固件。SPM的实现是基于Arm Firmware Framework for Arm A-profile规范。
简而言之,广泛的FF-A规范和S-EL2固件实现提供:
1)互不信任的软件组件或FF-A术语中的端点的隔离。
2)安