Μια πρόσφατη ευπάθεια που ανιχνεύθηκε στη σειρά chip M της Apple επιτρέπει σε χάκερς να ανακτήσουν κλειδιά κρυπτογράφησης από Mac, σύμφωνα με ακαδημαϊκούς ερευνητές σε έγγραφο που δημοσιεύθηκε την Πέμπτη.
Η ευπάθεια, ένα πλευρικό κανάλι που επιτρέπει την εξαγωγή κλειδιών από άκρο σε άκρο, κατά την εκτέλεση εφαρμογών των chip της Apple που χρησιμοποιούν ευρέως πρωτόκολλα κρυπτογράφησης, δεν διορθώνεται άμεσα, καθώς οφείλεται στον μικροαρχιτεκτονικό σχεδιασμό του πυριτίου. Αντιθέτως, μπορεί να αντιμετωπιστεί μόνο με την ενίσχυση των αμυντικών μέτρων στο λογισμικό κρυπτογράφησης τρίτων, το οποίο μπορεί να επηρεάσει σημαντικά την απόδοση της σειράς M κατά την εκτέλεση κρυπτογραφικών λειτουργιών, ιδιαίτερα στις προηγούμενες γενιές M1 και M2. Η εκμετάλλευση αυτής της ευπάθειας πραγματοποιείται όταν η συγκεκριμένη κρυπτογραφική λειτουργία και η κακόβουλη εφαρμογή εκτελούνται στο ίδιο σύμπλεγμα επεξεργαστών, με τα κανονικά δικαιώματα συστήματος χρήστη.
Δείτε επίσης: Snapdragon 8 Gen 4: Υποστηρίζει ταχύτερο chip μνήμης RAM που υπερτερεί του A18 Pro της Apple
Η απειλή βρίσκεται στον συλλέκτη δεδομένων που εξαρτάται από τη μνήμη δεδομένων των chip. Αυτός ο προ-συλλέκτης αποτελεί βελτιστοποίηση hardware που προβλέπει τις διευθύνσεις μνήμης των δεδομένων στα οποία ο εκτελούμενος κώδικας μπορεί να έχει πρόσβαση στο μέλλον. Με τον τρόπο αυτό, φορτώνοντας τα δεδομένα στην κρυφή μνήμη της CPU πριν πραγματικά χρειαστεί, το DMP (Data Movement Predictor), όπως συνήθως αναφέρεται, μειώνει την καθυστέρηση μεταξύ της κύριας μνήμης και της CPU, το οποίο αποτελεί κοινό σημείο συμφόρησης στη σύγχρονη πληροφορική. Τα DMP αποτελούν ένα σχετικά πρόσφατο φαινόμενο που υπάρχει μόνο στα τσιπ της σειράς M και στη μικροαρχιτεκτονική Raptor Lake της 13ης γενιάς της Intel, ενώ παλαιότερες μορφές prefetchers είναι κοινές εδώ και πολλά χρόνια.
Οι ειδικοί στην ασφάλεια γνωρίζουν εδώ και καιρό πως οι κλασικοί προ-συλλέκτες ανοίγουν μια πλευρική πύλη μέσω της οποίας εντοπίζουν και εξερευνούν κακόβουλες διεργασίες για να αποκτήσουν μυστικά κλειδιά από κρυπτογραφικές λειτουργίες. Αυτή η ευπάθεια προκύπτει από τις προβλέψεις των prefetchers που βασίζονται σε προηγούμενα μοτίβα πρόσβασης και ενδέχεται να προκαλέσουν αλλαγές στην κατάσταση, τις οποίες μπορούν να εκμεταλλευτούν οι εισβολείς για να διαρρεύσουν πληροφορίες. Ως απάντηση, οι μηχανικοί κρυπτογραφίας έχουν επινοήσει τον προγραμματισμό σταθερού χρόνου, μια προσέγγιση που εξασφαλίζει ότι όλες οι λειτουργίες απαιτούν τον ίδιο χρόνο για να ολοκληρωθούν, ανεξάρτητα από τους τελεστές τους. Με αυτόν τον τρόπο διατηρεί τον κώδικα ασφαλή από μυστικές προσβάσεις και δομές μνήμης.
Το επίτευγμα της νέας έρευνας είναι ότι αποκαλύπτει μια συμπεριφορά των DMP που είχαν παραβλεφθεί στο παρελθόν στο πλαίσιο του πυρήνα της Apple. Σε ορισμένες περιπτώσεις, τα DMP μπερδεύουν το περιεχόμενο της μνήμης, όπως το βασικό υλικό, με την τιμή του δείκτη που χρησιμοποιείται για τη φόρτωση άλλων δεδομένων. Ως αποτέλεσμα, το DMP συχνά διαβάζει τα δεδομένα και προσπαθεί να τα αντιμετωπίσει ως διεύθυνση για την πρόσβαση στη μνήμη. Αυτή η «αποαναφορά» των «δείκτες» – που σημαίνει την ανάγνωση δεδομένων και τη διαρροή τους μέσω ενός πλευρικού καναλιού – αποτελεί σαφή παραβίαση του παραδείγματος του σταθερού χρόνου.
Δεν είναι η πρώτη φορά που ερευνητές ανιχνεύουν απειλές που κρύβονται στα DMP της Apple. Η βελτιστοποίηση πρωτοεμφανίστηκε σε μια έρευνα του 2022, ανακαλύπτοντας ένα προηγουμένως άγνωστο “DMP που κυνηγά τον δείκτη” τόσο στο τσιπ M1 όσο και στο τσιπ A14 Bionic της Apple για iPhone. Μια νέα έρευνα από ακαδημαϊκούς οδήγησε στο Augury, μια επίθεση που ανέδειξε ένα κανάλι στην πλευρά της μνήμης όπου διέρρευσαν δείκτες. Τελικά, το Augury αντιμετώπισε δυσκολίες στο να συνδυάσει δεδομένα και διευθύνσεις χρησιμοποιώντας πρακτικές σταθερού χρόνου, υποδηλώνοντας ότι το DMP μπορεί να μην ήταν τόσο μεγάλη απειλή.
«Το GoFetch αποδεικνύει ότι το DMP είναι πολύ πιο επιθετικό απ’ ό,τι περιμέναμε και συνεπώς ενέχει πολύ μεγαλύτερο κίνδυνο», αναφέρουν οι συντάκτες του GoFetch στην ιστοσελίδα τους. «Συγκεκριμένα, παρατηρούμε ότι οποιαδήποτε τιμή φορτώνεται στη μνήμη είναι ευάλωτη στο να αποκαλυφθεί. Αυτό μας επιτρέπει να παρακάμψουμε πολλούς από τους περιορισμούς του Augury και να πραγματοποιήσουμε επιθέσεις από άκρο σε άκρο στους κώδικες σε πραγματικό χρόνο».
Όπως και άλλες μονάδες CPU μικροαρχιτεκτονικής, το GoFetch διακρίνεται από την αδυναμία του να διορθωθεί μέσω απλών μεθόδων. Η ευθύνη για τη μείωση των επιπτώσεων της ευπάθειάς του ανήκει στους προγραμματιστές που αναπτύσσουν λογισμικό για τα προϊόντα της Apple. Για τους προγραμματιστές λογισμικού κρυπτογράφησης που τρέχει σε chip M1 και M2 της Apple, σημαίνει ότι πρέπει να εφαρμόσουν επιπρόσθετα μέτρα ασφαλείας, τα οποία σχεδόν πάντα έχουν σημαντικές επιπτώσεις στην απόδοση.
Διαβάστε ακόμη: Η Apple Αποκαλύπτει τα Πάντα για το Νέο της Μοντέλο MM1 AI
Ένας από τους αποτελεσματικότερους τρόπους ασφάλειας, γνωστός ως “ciphertext blinding”, αποτελεί ένα εξαιρετικό παράδειγμα. Η διαδικασία του Blinding λειτουργεί με τον προσθαφαίρεση μάσκων σε ευαίσθητες τιμές πριν ή μετά την αποθήκευσή τους στη μνήμη. Αυτό ουσιαστικά προλαμβάνει τον χάκερ από την ανάκτηση του και την αποτροπή των επιθέσεων GoFetch. Κατά δηλώσεις ερευνητών, αυτή η μέθοδος προστασίας, ενώ αποτελεσματική για τον αλγόριθμο, συχνά αποδεικνύεται και δαπανηρή, μπορεί να διπλασιάζει τους υπολογιστικούς πόρους που απαιτούνται σε ορισμένες περιπτώσεις, όπως στις ανταλλαγές κλειδιών Diffie-Hellman.
Μια εναλλακτική προσέγγιση αποτελεί η εφαρμογή κρυπτογραφικών διαδικασιών στους πυρήνες απόδοσης που αναφέρθηκαν προηγουμένως, οι οποίοι είναι ευρέως γνωστοί ως πυρήνες Icestorm και δεν περιέχουν DMP. Μια εναλλακτική προσέγγιση είναι η εκτέλεση του κρυπτογραφικού κώδικα σε αυτούς τους πυρήνες. Παρόλο που αυτή η μέθοδος δεν είναι ιδανική, καθώς μπορεί απροσδόκητες αλλαγές να προσθέσουν λειτουργικότητα DMP στους πυρήνες απόδοσης, η εκτέλεση κρυπτογραφικών διαδικασιών εκεί μπορεί να αυξήσει τον χρόνο που απαιτείται για την ολοκλήρωση λειτουργιών με μη τετριμμένο περιθώριο. Οι ερευνητές καταγράφουν αρκετές ad-hoc προσεγγίσεις για άμυνες, αν και αυτές εμφανίζουν εξίσου προβλήματα.
Το DMP στο M3, το νεότερο chip της Apple, περιλαμβάνει ένα ειδικό κομμάτι που επιτρέπει στους προγραμματιστές να απενεργοποιήσουν τη λειτουργία του. Οι ερευνητές δεν έχουν ακόμα κατανοήσει πλήρως ποιες επιπτώσεις θα έχει η απενεργοποίηση αυτής της βελτίωσης απόδοσης. (Παρατηρήθηκε ότι το DMP που εντοπίστηκε στους επεξεργαστές Raptor Lake της Intel δεν διαρρέει τις ίδιες κρυπτογραφικές πληροφορίες. Επιπλέον, η ρύθμιση ενός ειδικού bit DOIT απενεργοποιεί επίσης αποτελεσματικά το DMP.)
Οι αναγνώστες θα πρέπει να θυμούνται ότι οι ενδεχόμενες κυρώσεις θα εφαρμοστούν μόνο όταν το εν λόγω λογισμικό εκτελεί συγκεκριμένες κρυπτογραφικές λειτουργίες. Σε προγράμματα περιήγησης και σε πολλούς άλλους τύπους εφαρμογών, το κόστος απόδοσης μπορεί να μην είναι εμφανές.
«Πιστεύουμε ότι η βέλτιστη λύση θα ήταν η διεύρυνση της σύμβασης hardware-software προκειμένου να ληφθεί υπόψη το DMP», σημειώνουν οι ερευνητές. «Το hardware θα πρέπει να προβλέπει τουλάχιστον μια μέθοδο επιλεκτικής απενεργοποίησης του DMP κατά την εκτέλεση εφαρμογών που είναι κρίσιμες για την ασφάλεια. Αυτό αποτελεί ένα πρωτοφανές επίτευγμα στον τομέα. Για παράδειγμα, οι επεκτάσεις DOIT της Intel προβλέπουν την απενεργοποίηση του DMP μέσω μιας επέκτασης ISA. Μακροπρόθεσμα, θα ήταν επιθυμητό να ελέγχουμε το DMP με μεγαλύτερη λεπτομέρεια, για παράδειγμα να περιορίσουμε τη λειτουργία του DMP ώστε να εφαρμόζεται μόνο σε συγκεκριμένα buffer ή ορισμένες μη ευαίσθητες περιοχές μνήμης.
Οι ενδιαφερόμενοι χρήστες πρέπει να ελέγξουν για ενημερώσεις σχετικά με τον μετριασμό του GoFetch, διαθέσιμες για λογισμικό macOS που χρησιμοποιεί οποιοδήποτε από τα τέσσερα κρυπτογραφικά πρωτόκολλα που έχουν ανακοινωθεί ως ευάλωτα. Από την αφθονία της προσοχής, μπορούμε να υποθέσουμε ότι και άλλα πρωτόκολλα κρυπτογράφησης είναι πιθανό να είναι ευαίσθητα, τουλάχιστον προς το παρόν.
Δείτε περισσότερα: Walmart: Ξεκίνησε τις πωλήσεις των MacBook Air με M1 chip
«Δυστυχώς, για να εκτιμηθεί εάν μια εφαρμογή είναι ευάλωτη, απαιτείται κρυπτανάλυση και επιθεώρηση κώδικα, προκειμένου να κατανοήσουμε πώς οι ενδιάμεσες τιμές μπορούν να τροποποιηθούν, ώστε να μιμούνται δείκτες με έναν τρόπο που διαρρέει μυστικά», συμβουλεύουν οι ερευνητές. “Αυτή η διαδικασία απαιτεί χειρονακτική επεξεργασία και είναι χρονοβόρα, ενώ δεν αποκλείει άλλες μεθόδους επίθεσης.”
Πηγή: arstechnica.com
