Уязвимость обнаружена в кремниевых чипах Apple серии M - и ее невозможно устранить

В компьютерах Apple Mac и MacBook обнаружена новая уязвимость в системе безопасности, и самое страшное, что она не поддается исправлению.

Академические исследователи обнаружили уязвимость, о которой впервые сообщило издание Ars Technica. Она позволяет хакерам получить доступ к секретным ключам шифрования на компьютерах Apple с новым чипсетом Silicon M-Series. К ним относятся модели M1, M2 и M3 Apple MacBook и Mac. Проблема заключается в префетчерах - компонентах, предназначенных для предиктивного извлечения данных перед запросом для увеличения скорости обработки - и в том, что они оставляют возможность для атак со стороны злоумышленников.

Исследователи назвали атаку "GoFetch", которую они описывают как "микроархитектурную атаку по побочным каналам, которая может извлекать секретные ключи из криптографических реализаций постоянного времени через префетчеры, зависящие от памяти данных (DMP)".

Атака по боковому каналу - это тип кибератаки, использующий дополнительную информацию, которая остается уязвимой из-за дизайна компьютерного протокола или алгоритма.По сути, исследователи обнаружили, что DMP в кремниевых чипсетах Apple - M1, M2 и M3 - могут дать хакерам доступ к конфиденциальной информации, например, к секретным ключам шифрования. С помощью DMP можно обойти защиту, установленную в криптографических приложениях, причем сделать это можно очень быстро. Например, исследователи смогли извлечь 2048-битный ключ RSA менее чем за час.

Обычно, когда в наше время обнаруживается недостаток в системе безопасности, компания может устранить его с помощью программного исправления. Однако, по словам исследователей, этот случай не подлежит исправлению, поскольку проблема кроется в "микроархитектурном" дизайне чипа. Кроме того, меры безопасности, принятые для устранения проблемы, потребуют серьезного снижения производительности чипов серии M.

Исследователи утверждают, что впервые обратили внимание Apple на свои находки 5 декабря 2023 года. Они ждали 107 дней, прежде чем обнародовать результаты своего исследования.