Hiljutise akadeemilise läbimurde käigus on teadlased paljastanud Apple'i M-seeria kiipide tõsise haavatavuse, mis mõjutab peamiselt krüptovarade turvalisust.
See viga, mida mainekate asutuste teadlaste väljaandes kirjeldavad, võimaldab ründajatel krüptograafiliste toimingute ajal juurdepääsu salajastele võtmetele.
Kuidas MacBookid on krüptohäkkide suhtes haavatavad
Probleem on sügavalt juurdunud Apple'i M1 ja M2 kiipide mikroarhitektuuri. Järelikult on otsene plaaster võimatu. Selle asemel nõuab leevendus kohandamist kolmanda osapoole krüptotarkvaras, mis võib jõudlust kahjustada.
Selle haavatavuse keskmes on nende kiipide andmemälust sõltuv prefetcher (DMP). Selle funktsiooni eesmärk on ennustada ja eellaadida andmeid, minimeerides nii protsessori ja mälu latentsust.
Kuid DMP ainulaadne käitumine võib mälusisu ekslikult tõlgendada osuti aadressidena, mis põhjustab soovimatut andmeleket külgkanalite kaudu.
Eksperdid, nagu Boru Chen Illinoisi ülikoolist Urbana-Champaign ja Yingchen Wang Texase ülikoolist Austinis selgitavad, et ründajad võivad seda eeltooja käitumist ära kasutada. Nad saavutavad selle sisendite loomisega, mille DMP tuvastab ekslikult aadressidena, lekitades seega kaudselt krüpteerimisvõtmeid. See protsess on äsja tuvastatud GoFetchi rünnaku kesksel kohal.
Lisateavet: Krüptoprojekti turvalisus: varajase ohu tuvastamise juhend
"Meie peamine arusaam on see, et kuigi DMP eemaldab ainult viiteid, saab ründaja koostada programmi sisendeid nii, et kui need sisendid segunevad krüptograafiliste saladustega, saab tulemuseks oleva vahepealse oleku kujundada nii, et see näeks välja osuti siis ja ainult siis, kui saladus rahuldab ründajat. -valitud predikaat," selgitasid teadlased.
Märkimisväärne on see, et GoFetch ei vaja käivitamiseks juurjuurdepääsu. See töötab macOS-süsteemides tavaliste kasutajaõigustega.
Rünnak on osutunud tõhusaks nii tavapäraste kui ka kvantkindlate krüpteerimismeetodite vastu, eraldades võtmed aja jooksul, mis varieerub sõltuvalt krüptoprotokollist.
Selle ohuga silmitsi seistes peavad arendajad keerukuses navigeerima. Nad peavad rakendama tugevaid kaitsemehhanisme, mis on küll tõhusad, kuid võivad krüptograafiliste ülesannete ajal protsessori jõudlust märkimisväärselt aeglustada.
Üks selline leevendustaktika, šifriteksti pimestamine, ehkki see on tõhus, võib nõuda palju rohkem arvutusvõimsust, mõjutades eriti konkreetseid võtmevahetusi.
See GoFetchi haavatavuse paljastamine on osa laiemast digitaalsete ohtude suurenemisest, eriti krüptoomanike jaoks. Hiljutised avalikustamised on osutanud olulistele turvalünkadele iOS-is ja macOS-is, mida kasutatakse krüptopettuste jaoks.
Lisateavet: 9 krüptorahakoti turvanõuannet oma varade kaitsmiseks
Sellised asutused nagu riiklik standardite ja tehnoloogia instituut ja küberturvalisuse eksperdid on tõstnud esile haavatavusi laialdaselt kasutatavates rakendustes ja operatsioonisüsteemides, toetades kasutajate kõrgendatud ettevaatust ja kiireid süsteemivärskendusi.
Kaebused
Usaldusprojekti juhiste järgi on BeInCrypto pühendunud erapooletule ja läbipaistvale aruandlusele. Selle uudise artikli eesmärk on pakkuda täpset ja õigeaegset teavet. Lugejatel soovitatakse aga fakte iseseisvalt kontrollida ja enne selle sisu põhjal otsuste tegemist professionaaliga nõu pidada. Pange tähele, et meie nõudeid ja tingimusi, privaatsuspoliitikat ja lahtiütlemisi on värskendatud.
Allikas: https://beincrypto.com/apple-macbook-crypto-theft-target/