Google の Titan M Chip で発見された深刻な脆弱性:研究者たちに $75,000 の報奨金

Critical Vulnerability in Google’s Titan M Chip Earns Researchers $75,000

2022/08/16 SecurityWeek — Quarkslab のセキュリティ研究者は、今年の初めに発見した Google の Titan M Chip における、深刻な脆弱性についての詳細情報を公開した。2018年に発表された Titan M は、Pixel デバイスにセキュリティ保護の強化を提供するために設計された、セキュアブートなどを保証する SoC (system-on-a-chip) である。この新たな脆弱性 CVE-2022-20233 は、Android の 2022年6月のセキュリティ・パッチの一部として対処されたが、深刻な権限昇格のバグだと、Google は説明していた。

この問題を発見し、Google に報告した Quarkslab の研究者たちによると、このセキュリティ欠陥の悪用に成功した攻撃者は、Titan M Chip 上でコード実行を達成できるという。

この脆弱性は、境界チェックの失敗に起因する、境界外書き込みの問題である。このバグを悪用してローカルで特権昇格させる場合には、ユーザーの操作は不要である。

Quarkslab によると、Titan M のファジング中に、ファームウェアがマッピングされていないメモリ領域に、1 Byte の書き込みを行うときに発生するクラッシュを観測し、このバグが複数回トリガーされると、境界外の書き込みを達成できることを発見したという。

セキュリティ研究者たちは、Titan M のメモリは完全に静的であるとしながらも、デバッグログにアクセスするために、Titan M が公開している UART コンソールに直接接続し、エクスプロイトの構築を進めなければならなかったと述べている。

その後に Quarkslab の研究者たちは、このチップ上の任意のメモリを読み取ることができるエクスプロイトを作成した。それにより、チップに保存されている秘密 (Titan M のアップデート時に Pixel ブートローダが送信する Root of Trust など) をダンプし、さらにブート ROM にアクセスすることが可能になった。

Quarkslab は、「この攻撃の最も興味深い結果の1つは、Android Keystore の最高レベルの保護を破って、あらゆる StrongBox で、保護されたキーを取り出せることだ。TrustZone で起こるように、これらのキーは、デバイス上の暗号化されたキーブロブに格納されている間、Titan M 内部でのみ使用できるものだ」と説明している。

2022年3月に研究者たちは、この脆弱性を Google に報告した。Google は6月にパッチをリリースし、このバグに対して $10,000 の懸賞金を提供した。しかし、コードの実行と機密の流出を実証するエクスプロイトが提供された後に、同社は報奨金を $75,000 に増額した。

Quarkslab の研究者たちは、6月の TROOPERS カンファレンスと、先週の Black Hat USA の両方で、一連の調査結果を発表している。

この Titan M Chip とは、Pixel デバイスのセキュアブートなどを保証する SoC (system-on-a-chip) とのことです。そこで見つかった深刻な脆弱性が FIX した下とのことで、まずは一安心です。それにしても、今回のバグバウンティは大判振る舞いですね。キルチェーンまで含めた PoC エクスプロイトを作成したのなら、妥当な報奨金なのでしょう。

%d bloggers like this: