通過幾行JavaScript就可以讀取電腦上的所有數據?
大家好,我是 ConardLi,我在之前曾經為大家分析過瀏覽器的策略:
《??HTTP 緩存別再亂用了!推薦一個緩存設置的最佳姿勢!??》?
好多同學看了這篇文章后表示看的云里霧里的,其實這些策略里面都提到了一個漏洞:Spectre 漏洞,這個漏洞究竟有啥魔力,讓瀏覽器頻繁的為它更新策略呢,今天我就來給大家講解一下。
Spectre
如果一個漏洞很難構造,就算他能夠造成再大的危害,可能也不會引起瀏覽器這么大的重視,那么我們今天的主角 Spectre ,是又容易構造,而且造成的危害也很大的,利用 Spectre ,你可以:
通過幾行 JavaScript ,就可以讀取到電腦/手機上的所有數據,瀏覽器中的網頁可以讀取你所有的密碼,知道其他程序在干什么,這甚至不需要你寫出來的程序是有漏洞的,因為這是一個計算機硬件層面上的漏洞。
想要理解 Spectre ,我們需要下面三個方面的知識:
- 理解什么是旁路攻擊
- 理解內存的工作方式
- 理解計算機的預測執行
其實都是一些非常基礎的計算機知識,大家可能學校里都學到過的,那么 Spectre 則巧妙利用了上面三個原理,下面我們來挨個看一下。
大家可以完全不用擔心,我會用最簡單的方式給大家講明白,先把這些知識拆解一下,最后組合起來其實是很容易理解的。
內存的工作方式
首先,我們的電腦是由很多零部件構成的:
- 存儲:內存、硬盤等等
- CPU
- 輸入輸出設備:鍵盤鼠標等
我們的計算機運行的時候呢,從存儲設備加載程序進入 CPU,CPU 負責處理進行大量運算,這些運算需要內存的數據進行多次讀取。然后把結果輸出到我們的顯示器等輸出設備里面,這大概是是一個計算機簡單的工作原理。
下面我們把關注點放到 CPU 和內存上面,內存里存放著你正在運行的很多程序,包括系統、用戶數據等等、同時也存儲了 CPU 運算的中間結果。
要存儲這么多信息,需要一個規范化的存儲方式,我們可以把內存想像成一堆排列好的小的內存塊,每個內存塊里保存著一位信息。
另外,內存是有很多層的,CPU 去里面讀一個數據是很慢的,所以我們又在 CPU 和 內存中建立了幾級緩存,當我們取到一個被緩存過的數據時,速度會快一點。那當訪問一個沒被緩存過的數據時,數據會在緩存內存里創建一個副本,下次再訪問到它就會很快。
這就是內存大概的工作原理,當然這個過程簡化了很多,我們在這里只需要簡單理解即可。
旁路攻擊
那么啥是旁路(side-channel)呢?
我們可以簡單這樣理解:假如在你的程序正常的通訊通道之外,產生了一種其他的特征,這些特征反映了你不想產生的信息,這個信息被人拿到了,你就泄密了。這個邊緣特征產生的信息通道,就叫旁路。
比如你的內存在運算的時候,產生了一個電波,這個電波反映了內存中的內容的,有人用特定的手段收集到這個電波,這就產生了一個旁路了。基于旁路的攻擊,就稱為旁路攻擊。
常見的旁路還有:時延,異常,能耗,電磁,噪聲,可見光,錯誤消息,頻率,等等,反正你運行總是有邊緣特征的,一不小心這個邊緣特征就成了泄密的機會。
我們來舉個基于時延來進行旁路攻擊的例子:
假設我們想讓電腦驗證一下密碼,比如我們的密碼是 ConardLi。
下面我們從攻擊者的角度來猜一下,密碼是啥,我們從一個字母開始猜:
- 密碼是 A,計算機 1ms 后告訴我:不對!
- 密碼是 B,計算機 1ms 后告訴我:不對!
- 密碼是 C,計算機 1.1ms 后告訴我:不對!
有沒有發現啥問題?我們第一個字母猜對了,但是計算機告訴我們密碼錯誤的時間增加了 0.1ms?
因為這次,計算機發現第一位匹配后,需要驗證第二位是否匹配,所以會多花費一些時間。是不是很巧妙!
我們可以以同樣的方式,再繼續驗證 Ca、Cb、... Co,最終猜測出我們的密碼。
這時我們的猜測時間和密碼長度是線性關系,我們可以再 O(n) 的時間復雜度內猜出密碼。如果直接爆破,我們至少需要進行 52 的 8 次方次計算!
這就是旁路攻擊,這該死的魅力!
CPU的預測執行
上面我們提到,當CPU運行的時候,會頻繁的從內存中調取信息。但是讀取內存很慢,CPU 為此要花費很長的時間空閑,只為了等待內存的數據。這顯然不是個很好的方案。
所以,人們想,是不是 CPU 可以推測一下需要執行的命令呢?
假設我們有下面這樣的代碼,根據內存中的某個數據判斷執行不同的語句:
if(Menory === 0){
// 進行第一步計算
// 進行第二步計算
// 進行第三步計算
}
這里有兩種可能,Menory 是 0 或者不是 0 。
這時 CPU 等待內存數據時就會預測,假設讀取內存返回 0,CPU 可以不等待內存返回,直接搶跑:跳過 if 判斷直接執行里面的計算命令。
那么如果內存真的返回 0 ,CPU 已經成功超前運行,CPU 可以繼續執行后面的命令。但是假如內存沒有返回 0 ,CPU 就會回滾之前執行的結果。
所以,CPU 執行需要非常小心,不能直接覆蓋寄存器的值,從而真的改變程序的狀態,一旦發現預測失敗就立刻回滾改動。
攻擊的原理
前面,我們已經掌握了這個漏洞利用到的所有因素,下面我們來看看它具體是咋回事。
假設下面是我們的緩存,讀取它很慢。系統內核將它進行分塊,分配給不同的程序,如果考慮云計算的話,可能分配給不同的虛擬機。
不同程序可能分配到的內存塊是相鄰的,我們繼續用之前的文章 《??HTTP 緩存別再亂用了!推薦一個緩存設置的最佳姿勢!??》中的例子:
紅色的內存塊中存儲著我們受害者的數據,比如受害者的某個密碼:
操作系統會試圖確保一個程序無法訪問屬于其他程序的內存塊,不同程序的內存塊會被隔離開。
所以其他程序無法直接讀取 “受害者”(紅色區域)的數據:
加入我們試圖直接訪問紅色區域肯定是讀不到的 ,但是緩存中可能已經存在一些數據,下面我們可以試著用高速緩存來搞點事情。
我們在紫色的內存塊放一個數組 A,這塊內存屬于我們的程序,可以合法訪問,但是它很小,只有兩位。
但是我們不滿足于讀取數組 A 中的兩個元素,我們試圖超出 A 的范圍(下標越界),訪問 A 數組的第 X 位。但是 X 可能遠遠超出 A 數組的長度。
通常情況下, CPU 會阻止這一操作,拋出一個錯誤:“非法操作”,然后操作會被強制結束 ,然而我們可以再試圖觀測這個過程,我們看看是怎么做到的。
我們在我們允許訪問的內存范圍內再次新建一個區域,可以叫工具箱。
我們特別要求 CPU 對這段數據不要拷貝到緩存,只保留于內存,這是一段連續的內存區域。
假設我們執行的指令長這樣,首先有個 if 判斷語句:
if(name === 'code秘密花園'){
// ...
}
一般來講,CPU 執行會先無視這個判斷,因為它需要等待內存返回 name 的值是不是等于 code秘密花園,因為有預測執行這樣的技術,if 語句中的東西會被預先執行。
if(name === 'code秘密花園'){
access Tools[A[x]]
}
我們嘗試讀取 Tools 的第(A的第X元素)個元素。假如我們讀到的這個受害者內存中包含 3:
這是我們不應該讀取到的,但是我們可以通過預測執行做下面的事情:
CPU 執行了這個不應該被執行的命令后,CPU 認為它需要看一下 A[X] 的值是什么,這時 CPU 并未檢查 A[X] 是否已經下標越界,因為 CPU 認為之后內核總會驗證下標是否越界,如果越界就強制結束程序。
于是,預測執行就直接查詢了 A[X] 的值,然后發現 A[X] = 3,也就是:
Tools[A[x]] = Tools[3]
也就是我們實際內存中 Tools 存儲的第四個元素 a,下面重點來了:
CPU 訪問到 a 后,將 a(即Tools[3]) 放入了高速緩存!
最后一步,就是遍歷 Tool 中的每一個元素,我們發現訪問前幾個元素都有點慢,直到訪問到第 3 個突然很快!因為第 3 個元素 a 在緩存中存儲了一份!
當預測執行發現錯誤的時候,它就會回滾寄存器的變化,但是不會回滾高速緩存!
信息就這樣的被泄漏了,因為訪問第 3 個元素所需時間比其他要短!這也就是基于時間的旁路。
于是,我們知道 “受害者” 在內存的這個位置有個 3。
后面,我們可以把 Tools 這篇區域搞得更大,你就可以猜出其他更多的數據!當然,這就是實際去攻擊需要考慮的失去了~
給Web帶來的影響
上面的原理我們已經分析清楚了,實際上使用 JavaScript 實現這個攻擊非常容易,在 JavaScript 里幾乎所有的邊界檢查都可以被繞過,從而實現任意內存邊界讀取。我們可以看看下面這段代碼:
if(index < array.length){
index = array[index | 0];
index = (((index * TABLE_STRIDE) | 0) & (TABLE_BYTES - 1)) | 0;
localJunk ^= probeTable[index | 0] | 0;
}
來自不同站點的多個頁面最終可能會在瀏覽器中共享一個進程。當一個人使用 window.open、 或 或 iframe 打開另一個頁面時,可能會發生問題,如果一個網站包含特定用戶的敏感數據,則另一個網站可能會利用這樣的漏洞來讀取該用戶的數據。
上面只是舉了一個簡單的例子,其實實際的攻擊面要比這個廣泛的多,為此瀏覽器出了很多的安全策略來解決這個問題,下面我們來看看:
瀏覽器策略
緩存推薦設置
上一篇文章講的就是這個?? HTTP 緩存別再亂用了!推薦一個緩存設置的最佳姿勢!??
- 為了防止中間層緩存,建議設置:Cache-Control: private
- 建議設置適當的二級緩存 key:如果我們請求的響應是跟請求的 Cookie 相關的,建議設置:Vary: Cookie
這下應該更明白為要這倆緩存配置了吧,瀏覽器沒有權利把緩存干掉,它只能做到最大程度的收緊緩存的寬松程度,增加攻擊的難度。
禁用高分辨率計時器
要利用 Spectre,攻擊者需要精確測量從內存中讀取某個值所需的時間。所以需要一個可靠且準確的計時器。
瀏覽器提供的一個 performance.now() API ,時間精度可以精確到 5 微秒。作為一種緩解措施,所有主要瀏覽器都降低了 performance.now() 的分辨率,這可以提高攻擊的難度。
獲得高分辨率計時器的另一種方法是使用 SharedArrayBuffer。web worker 使用 Buffer 來增加計數器。主線程可以使用這個計數器來實現計時器。瀏覽器就是因為這個原因禁用了 SharedArrayBuffer。
rel="noopener"
瀏覽器 Context Group 是一組共享相同上下文的 tab、window 或 iframe 。例如,如果網站(https://a.example)打開彈出窗口(https://b.example),則打開器窗口和彈出窗口共享相同的瀏覽上下文,并且它們可以通過 DOM API 相互訪問,例如 window.opener。
所以瀏覽器推薦大家在打開不信任的外部頁面時指定 rel="noopener" 。
跨源開放者策略(COOP)
利用 Spectre ,攻擊者可以讀取到在統一瀏覽器下任意 Context Group 下的資源。
COOP:跨源開放者政策,對應的 HTTP Header 是 Cross-Origin-Opener-Policy。
通過將 COOP 設置為 Cross-Origin-Opener-Policy: same-origin,可以把從該網站打開的其他不同源的窗口隔離在不同的瀏覽器 Context Group,這樣就創建的資源的隔離環境。
跨源嵌入程序政策(COEP)
COEP:跨源嵌入程序政策,對應的 HTTP Header 是 Cross-Origin-Embedder-Policy。
啟用 Cross-Origin-Embedder-Policy: require-corp,你可以讓你的站點僅加載明確標記為可共享的跨域資源,或者是同域資源。
跨域讀取阻止(CORB)
即使所有不同源的頁面都處于自己單獨的進程中,頁面仍然可以合法的請求一些跨站的資源,例如圖片和 JavaScript 腳本,有些惡意網頁可能通過<img>元素來加載包含敏感數據的 JSON 文件。
如果沒有 站點隔離 ,則 JSON 文件的內容會保存到渲染器進程的內存中,此時,渲染器會注意到它不是有效的圖像格式,并且不會渲染圖像。但是,攻擊者隨后可以利用 Spectre 之類的漏洞來潛在地讀取該內存塊。
跨域讀取阻止(CORB)可以根據其 MIME 類型防止 balance 內容進入渲染器進程內存中。
最后
瀏覽器做了這么多的策略,其實只能說可以在一定程度上緩解這個漏洞,實際上并不能從根源上消除,因為本質上 Spectre 還是一個硬件層面上的漏洞、提升漏洞的攻擊成本。
這個漏洞本身也很難解,無論是預測執行還是緩存,做了限制就代表性能會大大降低,所以硬件層面上也一直沒有解決這個問題。
