Исследователи обнаружили невозможный недостаток безопасности в Apple M1, и вам, вероятно, не нужно заботить

Исследователи обнаружили невозможный недостаток безопасности в Apple M1, и вам, вероятно, не нужно заботить

Исследователи, работающие с MIT, нашли новый недостаток в процессорах Apple, который они называют невозможными. Хотя это звучит плохо - и при определенных обстоятельствах может быть плохим - вероятно, это не то, о чем потребители должны беспокоиться о многом.

Недостаток, дублированный Pacman, вызван проблемой безопасности аппаратной безопасности с кодами аутентификации Apple (PAC). Исследователи пишут: «Мы демонстрируем, что, используя спекулятивные атаки выполнения, злоумышленник может обойти важный примитив безопасности программного обеспечения, называемый аутентификацией ARM Pointer для проведения атаки угона контроля». Указатели - это объекты в коде, которые содержат адреса памяти. Изменив данные внутри указателей, злоумышленник может теоретически изменить то, что происходит, когда машина обращается к данной области памяти.

Аутентификация указателя защищает указатели, шифруя их. Хотя может быть возможно скользить принудительно принудительные схемы аутентификации указателя, использование неверного кода аутентификации указателя будет сбоем в программе. Перезагрузка указанной программы будет генерировать новые PACS, заставляя злоумышленника начать процесс. В конце концов, постоянное сбои станет подозрительным. Аутентификация с грубым указателем не является практическим средством извлечения полезной информации.

Что работает, так это эксфильтрирующие данные через боковые каналы и пользуются спекулятивным выполнением. Команда пишет:

Ключевое понимание нашей атаки Pacman заключается в том, чтобы использовать спекулятивное исполнение, чтобы скрытно утечь результаты проверки PAC через микроархитектурные побочные каналы. Наша атака полагается на гаджеты Пакмана. Гаджет Pacman состоит из двух операций: 1) операция проверки указателя, которая умозрительно проверяет правильность угадаемого PAC, и 2) операция передачи, которая спекулятивно передает результат проверки через микроархитектурный боковой канал… обратите внимание, что мы выполняем обе операции на неправильном пути. Таким образом, эти две операции не будут вызывать визируемые архитектурой события, избегая проблемы, когда неверные догадки приводят к сбоям.

Пакман полагается на другой механизм, чем Spectre или Meltdown, но это точно такой же тип трюка. В то время как вы можете прочитать наш учебник по спекулятивному исполнению здесь, концепция легко понять. Спекулятивное выполнение - это то, что происходит, когда процессор выполняет код, прежде чем он узнает, будет ли этот код полезным или нет. Это важная часть современных процессоров. Все современные высокопроизводительные процессоры выполняют так называемое выполнение «вне порядка». Это означает, что чип не выполняет инструкции в точном порядке, который они прибывают. Вместо этого код реорганизуется и выполняется в любом соглашении, которое считает фронтальным процессором, будет наиболее эффективным.

Выполняя код спекулятивно, процессор может убедиться, что он имеет результаты на руках, необходимы они или нет, но эта гибкость также может быть использована и злоупотребляет. Поскольку спекулятивно выполненный код не предназначен для сохранения, неспособность грузить код аутентификации указателя, не сбивает программу так же. Это то, что исследователи сделали здесь.

Конечным пользователям, вероятно, не нужно беспокоиться о такой проблеме, несмотря на то, что она объявляется как невозможная. Одна из слабостей Pacman заключается в том, что он опирается на известную ошибку в ранее существовавшем приложении, что аутентификация указателя защищает в первую очередь. Pacman не создает недостаток в приложении, в котором ранее не существовало-он нарушает механизм безопасности, предназначенный для защиты и без того основанных приложений от использования.

По словам представителей Scott Radcliffe, «на основе нашего анализа, а также для деталей, передаваемых нам, мы пришли к выводу, что эта проблема не представляет непосредственного риска для наших пользователей и недостаточно для обхода защиты безопасности операционной системы самостоятельно . "

В оценке Wfoojjaec Apple, вероятно, верна.

Сравнение Pacman, Spectre и Meltdown

Разница на уровне поверхности между Pacman и такими проблемами, как Spectre, заключается в том, что они нацелены на различные аспекты чипа. PACMAN нацелен на боковые каналы TLB (Buffer Translation Lookside) вместо использования слабостей в том, как обрабатываются условные ветви или адреса. Но тот факт, что новая исследовательская группа обнаружила новую цель в ранее не осматриваемом процессоре, говорит о более широкой проблеме. У нас четыре года в этой захватывающей новой эре в области компьютерной безопасности, и новые проблемы все еще регулярно возникают. Они никогда не остановится.

Большая часть словесов была посвящена Spectre, Crealdown и различным последующим атакам, которые появились в течение годов с тех пор. Имена размываются вместе на этом этапе. Intel была легко пострадавшим производителем, но едва ли единственный. Что связывает все эти недостатки вместе? Похоже, они никогда не появляются в реальных атаках, и никаких крупных выпусков вредоносных программ государственными актерами, групп вымогателей или заурядных ботнетов еще не известно, что они полагаются на них. По какой-то причине как коммерческие, так и связанные с государством хакерские организации решили не сосредоточиться на спекулятивных атакх исполнения.

Исследователи обнаружили невозможный недостаток безопасности в Apple M1, и вам, вероятно, не нужно заботить

Одна возможность состоит в том, что эти атаки слишком сложны, чтобы воспользоваться, когда есть более простые стратегии. Другое заключается в том, что хакеры могут не хотеть обманывать, пытаясь определить, какие конкретные системы уязвимы к каким атакам. Теперь, когда на рынке есть несколько поколений аппаратного обеспечения AMD и Intel Intel, существует несколько подходов к решению этих проблем, реализованных как в программном и аппаратном обеспечении. Какова бы ни была причина, очень богатые риски не осуществились.

Раздражающий разрыв между раскрытиями безопасности и реальностью

Проблемы, подобные тем, которые авторы документируют, реальны, так же, как Spectre и Meltdown, были реальными. Документирование этих недостатков и понимание их реальных рисков важно. Платывание вашей системы, когда производители выпускают исправления для таких недостатков, важно, но она также может сопровождаться затратами. В случае спекулятивных атак на выполнение, таких как Spectre и Meltdown, клиенты отказались от реальной производительности, чтобы исправить проблему безопасности после запуска. В то время как большинство потребительских приложений были скромно затронуты, некоторые серверные приложения получили тяжелый удар. Одно дело попросить клиентов взять его на подбородку в качестве единовременной сделки, но в 2018 году было раскрыто устойчивое барабанное барабанное управление исследованиями в области безопасности и распада.

Исследователи процессора продолжают находить эти ошибки, куда бы они ни смотрели. Исследователи, прикрепленные к этой работе, отметили, что их проект достаточно общий, чтобы потенциально применить к чипам рук, изготовленных другими компаниями, хотя это не доказано. Мне не ясно, будет ли какое -либо из изменений в ARMV9 решать эти проблемы безопасности, но аутентификация указателя является новой функцией, ранее была представлена ​​в ARMV8.3.

Причина, по которой атаки боковых каналов трудно исправить, заключается в том, что они вообще не являются прямыми атаками. Атаки по боковым каналам-это атаки на основе информации, собранной на основе того, как реализована система, а не из-за недостатков в протоколе. Представьте себе, что смотрите на счетчики мощности для каждой квартиры в здании. В жаркий летний день вы могли бы рассказать, кто был дома, а кто не основан на том, как быстро вращался счетчик. Если вы использовали эту информацию, чтобы выбрать квартиру для Rob, вы будете использовать реальную атаку бокового канала, чтобы выбрать вашу цель. Все решения этой проблемы включают в себя затруднение для определенных людей, чтобы читать данные измерителя мощности, несмотря на то, что счетчики мощности предназначены для чтения. Любые усилия, чтобы сделать эти данные более безопасными, должны бороться с необходимостью прочитать их в первую очередь.

За последние четыре года мы увидели постоянный поток проблем безопасности оборудования, которые на самом деле не вызывали никаких проблем. Одна из причин, по которой я думаю, эти истории продолжают получать так много прессы, заключается в том, что никто, в том числе и ваш действительно, не хочет быть плохим репортером безопасности. Гораздо проще сказать людям, чтобы уделить много внимания раскрытию информации о безопасности, чем признать, что раскрытие информации о безопасности может не иметь значения или столь же заслуживаемой новостей, как предполагают первоначальные отчеты.

Слишком много отчетов о безопасности теперь ведут с сообщениями о неверных недостатках, когда риск ниже, чем предполагают такие формулировки. Каждый современный высокопроизводительный процессор использует спекулятивное вовлечение. Все они уязвимы к боковым атакам канала, а внимание щедро на Призраке, а критерий вдохновил волну аналогичных исследований. Недостатки реальны. Риски, которые они присутствуют, иногда раздуваются.

Читать далее

Google внезапно заботится о таблетках Android снова
Google внезапно заботится о таблетках Android снова

Google выпускает новую версию Android в ближайшее время с оптимизациями, специально для более крупных устройств, и даже нанимают сотрудников высокого уровня для наблюдения за таблетками Android. Но уже слишком поздно конкурировать с iPad?

Кажется, никто не заботится об играх Netflix
Кажется, никто не заботится об играх Netflix

Один из способов, которыми Netflix надеется удержать кровотечение, - это кэш мобильных игр, доступный только для подписчиков Netflix. Тем не менее, данные отслеживания приложений показывают, что в рамках одного процента подписчиков Netflix играют эти игры.