S'ha descobert una vulnerabilitat irreparable als xips de la sèrie M d'Apple que permet als atacants extreure claus secretes de xifratge de Mac en determinades condicions, segons un recentment publicat. treball de recerca acadèmica (via ArsTècnica ).
Es diu ' GoFetch ,' el tipus d'atac cibernètic que es descriu inclou els DMP (Data Memory-Dependent Prefetchers), que intenten predir quines dades necessitarà l'ordinador i recuperar-les amb antelació. Això vol fer que el processament sigui més ràpid, però pot revelar involuntàriament informació sobre què fa l'ordinador.
El document troba que els DMP, especialment els dels processadors d'Apple, suposen una amenaça important per a la seguretat que proporcionen els models de programació en temps constant, que s'utilitzen per escriure programes de manera que triguen el mateix temps a executar-se, independentment de les dades. estan tractant.
El model de programació en temps constant està pensat per protegir contra atacs de canal lateral, o tipus d'atacs on algú pot obtenir informació sensible d'un sistema informàtic sense accedir-hi directament (observant certs patrons, per exemple). La idea és que si totes les operacions triguen el mateix temps, hi haurà menys per a un atacant per observar i explotar.
No obstant això, el document troba que els DMP, especialment al silici d'Apple, poden filtrar informació fins i tot si el programa està dissenyat per no revelar cap patró en com accedeix a la memòria. La nova investigació descobreix que els DMP de vegades poden confondre el contingut de la memòria, cosa que fa que tracti les dades com una adreça per accedir a la memòria, cosa que va en contra del model de temps constant.
Hi ha un nou iPad Pro que sortirà el 2021?
Els autors presenten GoFetch com un nou tipus d'atac que pot explotar aquesta vulnerabilitat als DMP per extreure claus de xifratge del programari segur. L'atac funciona contra alguns algorismes de xifratge populars que es creu que són resistents als atacs de canals laterals, inclosos els tradicionals (per exemple, OpenSSL Diffie-Hellman Key Exchange, Go RSA desxifrat) i postquàntics (per exemple, CRYSTALS-Kyber i CRYSTALS-Dilithium) mètodes criptogràfics.
En un correu electrònic a ArsTècnica , van explicar els autors:
Els prefetchers solen mirar les adreces de les dades a les quals s'accedeix (ignorant els valors de les dades a les quals s'accedeix) i intenten endevinar les adreces futures que poden ser útils. El DMP és diferent en aquest sentit ja que, a més de les adreces, també utilitza els valors de les dades per fer prediccions (predir les adreces a les quals anar i captar prèviament). En particular, si un valor de dades 'sembla' a un punter, es tractarà com una 'adreça' (on en realitat no ho és!) i les dades d'aquesta 'adreça' es portaran a la memòria cau. L'arribada d'aquesta adreça a la memòria cau és visible, filtrant-se pels canals laterals de la memòria cau.
El nostre atac aprofita aquest fet. No podem filtrar les claus de xifratge directament, però el que podem fer és manipular dades intermèdies dins de l'algoritme de xifratge perquè sembli un punter mitjançant un atac d'entrada escollit. Aleshores, el DMP veu que el valor de les dades 'sembla' una adreça i porta les dades d'aquesta 'adreça' a la memòria cau, que filtra l''adreça'. No ens importa el valor de les dades que s'obtenen prèviament, però el fet que les dades intermèdies semblaven una adreça és visible a través d'un canal de memòria cau i és suficient per revelar la clau secreta amb el temps.
En resum, el document mostra que la funció DMP de les CPU de silici d'Apple es podria utilitzar per evitar les mesures de seguretat del programari de criptografia que es pensava que protegeixen contra aquestes fuites, cosa que podria permetre als atacants accedir a informació sensible, com ara una clau RSA de 2048 bits. en alguns casos en menys d'una hora.
Segons els autors, el defecte dels xips d'Apple no es pot corregir directament. En canvi, el vector d'atac només es pot reduir mitjançant la creació de defenses en programari criptogràfic de tercers que podria provocar una degradació extrema del rendiment en executar les operacions criptogràfiques, especialment en les primeres M1 i M2 xips. El DMP de l'M3, l'últim xip d'Apple, té un bit especial que els desenvolupadors poden invocar per desactivar-lo, però els investigadors encara no estan segurs de quin tipus de penalització es produirà quan aquesta optimització de rendiment estigui desactivada.
Com ArsTècnica Notes, aquesta no és la primera vegada que els investigadors identifiquen amenaces als DMP d'Apple. La investigació documentada l'any 2022 va descobrir una d'aquestes amenaces tant en el xip M1 com en el xip A14 Bionic d'Apple per a iPhone, que va donar lloc al ' Auguri 'atac. Tanmateix, aquest atac finalment no va poder extreure les dades sensibles quan es van utilitzar pràctiques de temps constant.
'GoFetch demostra que el DMP és significativament més agressiu del que es pensava i, per tant, suposa un risc de seguretat molt més gran', afirmen els investigadors al seu lloc web. 'Concretament, trobem que qualsevol valor carregat des de la memòria és candidat a ser desreferenciat (literalment!). Això ens permet esquivar moltes de les limitacions d'Augury i demostrar atacs d'extrem a extrem al codi en temps constant real'.
Els atacs d'estil DMP no són habituals i normalment requereixen accés físic a un Mac. Els investigadors van informar a Apple de la vulnerabilitat el desembre de 2023 i es recomana als usuaris preocupats per la vulnerabilitat que comprovin les actualitzacions de mitigació de GoFetch que estiguin disponibles en futures actualitzacions de macOS per a qualsevol dels protocols de xifratge que se sap que són vulnerables. Els representants d'Apple es van negar a comentar el registre quan ArsTècnica preguntat pel paper.
Entrades Populars