Arm CPU安全通告：基于TrustZone的Cortex-M系统面临多重故障注入攻击

安全之安全(security²)博客目录导读

目录

一、概述

二、致谢

三、参考文献​​​​​​Black Hat USA 2022 | Briefings Schedule

四、版本历史

一、概述

Arm注意到BlackHat 2022大会官网发布的演讲摘要《糟糕..！我又一次故障注入成功了！——如何突破ARM TrustZone-M的多重防护机制》。本文旨在澄清该摘要所述攻击是否会影响搭载Arm TrustZone技术的Cortex-M系统。

近年来，多名安全研究人员已演示过针对TrustZone Cortex-M系统的物理攻击。包括2022年BlackHat大会上某研究团队展示的利用多重电压故障（multiple voltage glitches）的攻击方法。这些攻击并非由于Cortex-M设备所采用的TrustZone架构防护机制失效所致。

Armv8-M架构中的TrustZone技术（或安全扩展机制）旨在通过硬件强制隔离不同软件运行环境。该设计可抵御软件攻击，满足大多数物联网应用的远程攻击防护需求。

若攻击者具备处理器系统的物理接触条件，则可发动物理攻击。例如研究人员演示的通过电源电压故障实施攻击。该团队采用的新型多重故障注入（MFI）攻击针对的是第三方芯片设计——该芯片搭载了启用TrustZone功能的Cortex-M33处理器。

此类攻击无法远程实施，因其需要专业设备且攻击者必须深入掌握芯片内部硬件原理。Cortex-M的TrustZone技术本身设计目标并不包含防御此类攻击，但处理器系统可通过集成额外防护机制应对。例如Arm SecurCore处理器（SC000/SC300）和Cortex-M35P处理器提供了一系列可选物理防护特性，可在处理器层面检测物理攻击。

需特别说明：物理防护不在PSA Certified Level 2认证范围内。若系统需防御故障注入等物理攻击，应采用PSA Certified Level 3认证方案。

虽然此类攻击超出多数威胁模型范畴（需物理接触设备），Arm仍在持续研究增强攻击难度的技术方案，并探索通过安全固件实施额外防护措施的可能性。

二、致谢

Arm感谢Ahmad-Reza Sadeghi教授、Richard Mitev与Marvin Saß的贡献。

三、参考文献
​​​​​​Black Hat USA 2022 | Briefings Schedule

四、版本历史