Il chip TrustZone di ARM, presente in ogni smartphone in commercio, risulterebbe vulnerabile ad una tipologia di attacco che prevede il downgrade delle applicazioni che vengono eseguite sul SoC , al fine di sfruttare bug presenti nelle versioni più vecchie .
La vulnerabilità è stata descritta in un paper dai ricercatori della Florida State University.
TrustZone è un SoC con un proprio sistema operativo installato – TrustZone OS – incaricato di effettuare operazioni di rilevanza e confidenzialità critica come la cifratura e la decifratura dei dati. Le applicazioni in esecuzione sul TrustZone, cioè all’interno del secure world , sono dette trustlets e devono essere in possesso di una firma digitale valida : attraverso una chain of trust le procedure di sicurezza verificano dapprima la validità dell’hardware, poi del bootloader, successivamente del TrustZone OS e per concludere le firme delle trustlets .
La vulnerabilità emerge nel momento in cui si evince che le trustlets utilizzano, nella maggior parte dei casi, la medesima firma digitale tra una versione e l’altra: in seguito ad un aggiornamento del sistema operativo, le trustlets precedenti non sono più valide e vengono aggiornate di conseguenza; tuttavia, risulta possibile sostituirle con delle versioni antecedenti l’aggiornamento , senza infrangere la “catena di fiducia”.
In questo modo, si potrebbe ottenere un punto di ingresso al TrustZone da cui compromettere l’integrità e la confidenzialità delle informazioni in esso contenute, e di conseguenza la sicurezza del dispositivo.
Leggendo il paper , tuttavia, emerge qualche perplessità. I ricercatori dichiarano di aver eseguito con successo un exploit sul Nexus 6 di Google, ottenendo l’accesso al Qualcomm Secure Execution Environment (QSEE), attraverso il metodo di downgrade delle trustlets da loro descritto; ciononostante, il paper affronta il tema con eccessiva leggerezza: l’attacco viene soltanto menzionato e gli unici dettagli tecnici descritti riguardano l’estrazione dei certificati, effettuata attraverso l’analisi binaria delle immagini dei vari TrustZone OS attualmente in produzione.
Not worth reading. Just verifying certificates for downgrading and calling it an attack isn’t enough. You also need to test your theory.
– Bjoern Kerler (@viperbjk) July 20, 2017
La ricerca non descrive in alcun modo un potenziale metodo di conduzione dell’attacco; difatti, uno dei ricercatori ha dichiarato a BleepingComputer che un eventuale attaccante dovrebbe inizialmente ottenere i permessi di root sul dispositivo, per riuscire a sfruttare la vulnerabilità.
Per questa ragione, il documento è da considerarsi un interessante punto di partenza per sviluppi futuri atti a migliorare la sicurezza del TrustZone, come l’introduzione di un sistema di versioning delle trustlets e procedure di enforcing sulle firme digitali, ma per il momento non è nulla di più.
Elia Tufarolo
-
Barzelletta
Bellissima questa barzelletta... Della creazione di posti di lavoro con l AI.iRobyRe: Barzelletta
- Scritto da: iRoby> Bellissima questa barzelletta... Della creazione> di posti di lavoro con l> AI.Stiamo anche assistendo al classico pattern della volpe e l'uva da parte dei dinosauri imperativi: chi spara a zero contro le AI molto probabilmente non le usa/non le conosce.hal9000Re: Barzelletta
Questo si. Ma ci scontriamo contro l'andazzo del turbocapitalismo dei profitti ad ogni costo.Lo scopo di questa rivoluzione è fare soldi. E i soldi oggi che si sono assottigliati gli utili, li fai tagliando o riducendo il costo del lavoro.Uscire con un articolo che dice che la IA crea posti di lavoro è un ossimoro, dato che da sempre l'obiettivo di questa tecnologia è stato quello di imitare con le macchine il pensiero e la comprensione umana, per poterla poi sostituire.Ben inteso che io non sono contro il togliere il lavoro.Anzi sarei ben contento se il lavoro ci venisse tolto o ridotto a pochissime ore a settimana lasciandoci però sia la possibilità di una vita dignitosa invece che trattarci come bestie.E il tempo libero ci aiuterebbe a realizzarci come esseri umani.iRobyRe: Barzelletta
- Scritto da: iRoby> Uscire con un articolo che dice che la IA crea> posti di lavoro è un ossimoro, dato che da sempre> l'obiettivo di questa tecnologia è stato quello> di imitare con le macchine il pensiero e la> comprensione umana, per poterla poi> sostituire.L'ossimoro lo vedi tu che non conosci quella tecnologia. Ad esempio nell'azienda dove lavoro usiamo AI per alcuni unit test massacranti; il dipendente che fino a qualche mese fa li compieva a mano, ora può dedicarsi a mansioni di progettazione.Naturalmente chi perde il lavoro in genere è perchè non può essere reinserito in attività ad alta intelligenza. Un po' come accadeva con i trattori che sostituivano gli zappaterra.mmmhRe: Barzelletta
- Scritto da: iRoby> Uscire con un articolo che dice che la IA crea> posti di lavoro è un ossimoro, dato che da sempre> l'obiettivo di questa tecnologia è stato quello> di imitare con le macchine il pensiero e la> comprensione umana, per poterla poi sostituire.Questo per la stragrande maggioranza delle tecnologie che si sono evolute fin dall'età della pietra. Hanno due scopi: ridurre lo sforzo necessario per fare un certo lavoro e fare nuove cose. Ma non mi pare che siamo tutti disoccupati per questo.Io al posto vostro avrei un po' meno certezze. Anche perché stiamo parlando di IA, ma siamo ancora lungi dall'avere intelligenze a tutti gli effetti. Abbiamo strumenti che possono sostituire l'uomo nel fare certe cose. E questa non è una novità.FDGRe: Barzelletta
- Scritto da: hal9000> - Scritto da: iRoby> > Bellissima questa barzelletta... Della> creazione> > di posti di lavoro con l> > AI.> > Stiamo anche assistendo al classico pattern della> volpe e l'uva da parte dei dinosauri imperativi:> chi spara a zero contro le AI molto probabilmente> non le usa/non le> conosce.Salve ... bel camuffamento.... ma rimane il fetore che ti porti dietro.indovina chi sonoRe: Barzelletta
- Scritto da: iRoby> Bellissima questa barzelletta... Della creazione> di posti di lavoro con l> AI.Beh, in effetti e' scritto già nel titolo:"La IA crea nuovi posti di lavoro (tra i manager), migliora l'efficienza e aumenta i guadagni (tra i manager - aggiungo io)", non alla maggioranza dei lavoratori, che futuro ci aspetta..Mao99Re: Barzelletta
Ma lo sai che il manager è solo una scimmia ammaestrata...Lui guarda un semaforo e poi decide quale tasto pigiare in base al colore.Arriva il rapporto degli analisti che hanno sondato il mercato e in base al rapporto positivo o negativo loro pigiano il tasto della ristrutturazione o degli investimenti.Ma pretendono di guadagnare da 200 a 500 volte il loro più umile sottoposto.iRobyRe: Barzelletta
- Scritto da: Mao99> che futuro ci aspetta..Tutti "manager" ;)FDGRe: Barzelletta
- Scritto da: iRoby> Bellissima questa barzelletta... Della creazione> di posti di lavoro con l AI.In effetti stiamo ancora tutti a zappare la terraFDGRe: Barzelletta
In effetti i dati sulla disoccupazione la danno sotto il 2% vero?iRobyRe: Barzelletta
soprattutto detto da società di consulenza fa ancora più ridere, dato che queste spingono alla esternalizzazione dei servizi, cioè sperano che le aziende non assumano nessuno in azienda ma comprino il loro "pacchetto" in body-rentalvarianteRe: Barzelletta
- Scritto da: iRoby> Bellissima questa barzelletta... Della creazione> di posti di lavoro con l> AI.Per ora li crea, è il business del momento, poi quando gli umani saranno obsoleti, ne terremo qualcuno come animale domestico. (cylon)Skynetmah
Il ricercatore è consulente di Information Technology, quindi è interessato a che risultato della ricerca sia di un tipo piuttosto che un altro.E poi il metodo: interviste ai manager. E quadri e dipendenti? E il lasso temporale?jackRe: mah
L'analisi corretta sulla IA e di tutti i miliardi che ci stanno buttando, come al solito l'ha fatta Paolo Barnard.http://www.paolobarnard.info/intervento_mostra_go.php?id=1874Diventeremo Tech-Gleba come dice lui.Molti lo sono già, totalmente tech-addicted.Per un informatico come me il computer è una passione, ed anche un lavoro.Ma molti ne diventano anche dipendenti.Sarà lo stesso anche con robottini, assistenti vocali ecc. ecc.iRobyRe: mah
Il fatto che ne parla quel ciarlatano, si capisce quanto sia affidabile quello che posti.Sg@bbioRe: mah
- Scritto da: jack> Il ricercatore è consulente di Information> Technology, quindi è interessato a che risultato> della ricerca sia di un tipo piuttosto che un> altro.> E poi il metodo: interviste ai manager. E quadri> e dipendenti? E il lasso> temporale?NON PERVENUTI! (rotfl)sono la morteRe: mah
- Scritto da: jack> E poi il metodo: interviste ai manager. E quadri> e dipendenti?Dipendenti? Saranno presto obsoleti.Ma se nessuno guadagna, poi chi compra? Quando anche i manager diverranno obsoleti, basterà sterminarli (cylon)Skynetgiornalismo
... siamo alle solite... si spaccia per giornalismo il copia/incolla acritico di un comunicato aziendalejackClassica falsificazione
La conclusione della ricerca è un metodo di falsificazione usato da sempre. Si fa una ricerca in un ambito molto ristretto e poi si sostiene che lo stesso risultato sia valido a livello globale.In questo periodo l'intelligenza artificiale non induce a tagliare i posti di lavoro perché le aziende si espandono a danno della concorrenza. L'IA crea lavoro nei paesi e nelle aziende che per primi la controllano al meglio.Il saldo globale è un altro discorso.c6f9a263b94Re: Classica falsificazione
Esatto. La VERA ricerca è ben altro, ed è solo da quella che si possono prendere informazioni che abbiano un po' di autorevolezza.Il resto, detto proprio in sintesi, è fuffa. O è marketing spacciato per dato scientifico oppure il manager che l'ha commissionata è un fesso che crede di avere in mano un dato scientifico.jackRe: Classica falsificazione
- Scritto da: jack> il manager che l'ha commissionata è un fesso che> crede di avere in mano un dato scientifico.Manager e fesso è una costante. Anzi molti manager sono dei fessi messi a fare quello per non fargli fare danni altrove...I manager sono scimmie ammaestrate, lo sono sempre state.iRobyRe: Classica falsificazione
> Manager e fesso è una costante. (rotfl) brutta l'invidia eh?comunque direi che per una considerevole percentuale la tua affermazione coincide con la realtà oggettivajackRe: Classica falsificazione
- Scritto da: c6f9a263b94> In questo periodo l'intelligenza artificiale non> induce a tagliare i posti di lavoro perché le> aziende si espandono a danno della concorrenza.> L'IA crea lavoro nei paesi e nelle aziende che> per primi la controllano al> meglio.Sì. Su chi poi in futuro finirà per controllare chi è un altro discorso (cylon)Skynetdistrugge
Solo zoppas le fa e nessuno le distruggemehProbabilità
Io ero rimasto a questo con tanto di appendice ben corposa(http://www.oxfordmartin.ox.ac.uk/publications/view/1314)Utente sconsolatoricerca fuffa, PI lecca
ricerca alla XXXXX di cane, pi pubblica acriticamente. come al solito. la ricerca mi rivolta lo stomaco, ma il l'acritico servilismo di pi e' disgustoso. ah gia' che voi siete cronisti e non opinionisti e quindi vi limitare a riportare i fatti e bla bla... la conosciamo la solfa. andate a XXXXXX....Re: ricerca fuffa, PI lecca
Se non ti piacciono i cronisti acritici di PI, guarda che è pieno zeppo di alternative con tutto il loro ventaglio di opinioni che distorcono i fatti.Ecco, ora che lo sai, migra verso quei lidi e non tornare più.. . .Re: ricerca fuffa, PI lecca
- Scritto da: . . .> Se non ti piacciono i cronisti acritici di PI,> guarda che è pieno zeppo di alternative con tutto> il loro ventaglio di opinioni che distorcono i> fatti.> Ecco, ora che lo sai, migra verso quei lidi e non> tornare> più.Sembri lo stesso identico XXXXXXXX, a cui rispondi. :oprecisioneRe: ricerca fuffa, PI lecca
> cronisti acritici di PI,NON esiste la cronaca acritica, quando si sta riportando quello che è stato detto da un altro.La cronaca acritica esiste solo per i fatti: un cane ha morso un uomo.Se riporti quello che ha detto un altro (un testimone ha visto un cane mordere un uomo) allora il senso critico (o la sua assenza) hanno un peso.Il testimone era attendibile? Era interessato a mentire? NON puoi non avere un'opinione.jackRe: ricerca fuffa, PI lecca
> cronisti acritici di PI,NON esiste la cronaca acritica, quando si sta riportando quello che è stato detto da un altro.La cronaca acritica esiste solo per i fatti: un cane ha morso un uomo.Se riporti quello che ha detto un altro (un testimone ha visto un cane mordere un uomo) allora il senso critico (o la sua assenza) hanno un peso.Il testimone era attendibile? Era interessato a mentire? NON puoi non avere un'opinione se sei un giornalistajackricerche alla XXXXX
"Stando a quanto dichiarato dall'83 per cento dei manager...".Mi è bastato leggere questo per capire quanto sia stata fatta alla XXXXX la ricerca....Detto da società di consulenza fa ridere
Le società di consulenza, sono le prime che distruggono i posti di lavoro, in quanto vanno in giro a convincere le aziende a non assumere personale ma ad esternalizzare i servizivarianteGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiPubblicato il 8 set 2017Ti potrebbe interessare