SpyHammer¶
Rowhammer'ı bir sıcaklık
side channel'ı olarak kullanmak: tetiklenenbit flip'lerin oranı DRAM sıcaklığıyla monoton şekilde korele olduğundan, kendi belleğinizi hammer'lamak ortam sıcaklığını açığa çıkarır.
Mechanism¶
Note
Bir DRAM hücresinin Rowhammer bit-error rate (BER) değeri sıcaklıkla güçlü ve
monoton şekilde koreledir: sıcaklık yükseldikçe bir hücrenin RowHammer BER'i
tutarlı biçimde artar (ya da azalır) ve ±1 °C kadar küçük değişimlere bile
duyarlıdır. Bazı zayıf hücreler ("canary cell"ler) tam olarak tek bir sıcaklık
noktasında flip atar. Saldırgan yalnızca kendi belleğini hammer'layıp hangi ve
kaç hücrenin flip attığını gözlemleyerek DRAM sıcaklığını — dolayısıyla
ortam/sistem sıcaklığını — herhangi bir victim belleği bozmadan ya da sistemi
değiştirmeden çıkarsar. Bu, yıkıcı bir fault primitive'ini pasif bir algılama
kanalına dönüştürür.
Walkthrough¶
Saldırgan kendi row'larından bilinen bir kümeyi hammer'lar ve flip'leri sayar, ardından enrollment sırasında oluşturulmuş bir model kullanarak flip sayısını sıcaklığa eşler:
metric: BER = bit errors per row, measured by hammering attacker-owned rows
build a polynomial-regression model from characterization data
map observed BER -> inferred temperature
Characterization ve doğruluk
- Dört üreticiden 12 gerçek DDR4 modülü (120 çip), 50–95 °C aralığında 1 °C çözünürlükte karakterize edildi.
- Variant 1 (göreli sıcaklık, victim modülüne önceden erişim yok): aynı model/aynı tarihli bir modülden kurulan model; 90. persentilde hata ±3.5 °C.
- Variant 2 (mutlak sıcaklık, victim modülünün önceden karakterizasyonu):
- persentilde hata < ±2.5 °C.
- Canary-cell optimizasyonu: tam olarak tek bir sıcaklık noktasında flip atan hücreleri enroll edip yalnızca o az sayıdaki hücreyi izlemek — gereken DRAM erişimi sayısını ciddi şekilde azaltır.
Kullanım senaryoları arasında sunucu peak-utilization'ını, araç/motor durumunu ya da oda sıcaklığı üzerinden ev doluluğunu çıkarsamak yer alır.
Mitigation¶
Rowhammer flip'lerini bastıran her şey (ECC, refresh management, TRR/PRAC) bu kanalı da bastırır. DRAM sıcaklığını sabit tutmak ya da hassas flip-count gözlemini kısıtlamak sinyali azaltır.