Universitaire onderzoekers hebben een niet-gepatchte kwetsbaarheid ontdekt in Apple Silicon Macs waardoor een aanvaller de encryptie kan breken en toegang kan krijgen tot encryptiesleutels.
De fout bestaat in de M1-, M2- en M3-chipsets, en omdat de fout deel uitmaakt van de chipsetarchitectuur, is er geen manier voor Apple om dit op de huidige apparaten te repareren…
De fout ligt in een proces dat bekend staat als DMP
Voordat we de fout uitleggen, moeten we het proces begrijpen dat wordt gebruikt in de meest geavanceerde chips van vandaag, bekend als data memory-based prefetching (DMP). Hier is hoe Ars Technica Legt het concept uit:
De dreiging schuilt in het op geheugen gebaseerde prefetching van de chips, een hardware-optimalisatie die de geheugenadressen voorspelt van gegevens waartoe de lopende code waarschijnlijk in de nabije toekomst toegang zal krijgen. Door inhoud in de CPU-cache te laden voordat deze daadwerkelijk nodig is, vermindert DMP, omdat de functie wordt ingekort, de latentie tussen het hoofdgeheugen en de CPU, een veelvoorkomend knelpunt in moderne computers. DMP's zijn een relatief nieuw fenomeen dat alleen voorkomt in chips uit de M-serie en Intel's 13e generatie Raptor Lake-microarchitectuur, hoewel oudere vormen van prefetchers al jaren populair zijn.
Het probleem komt voort uit een bug in het DMP.
Beveiligingsfout die niet kan worden verholpen
Zeven onderzoekers van zes verschillende universiteiten werkten samen om de kwetsbaarheid te identificeren en een applicatie te creëren die deze met succes kan exploiteren: Ga halen.
De details zijn erg technisch, maar de korte versie is dat gegevens die op de chip zijn opgeslagen soms worden verward met een geheugenadres en tijdelijk worden opgeslagen. Als een kwaadaardig programma ervoor zorgt dat deze fout herhaaldelijk optreedt, kan het na verloop van tijd de sleutel ontsleutelen.
Hier is hoe de onderzoekers het in meer detail beschrijven:
Prefetchers kijken doorgaans naar de adressen van de benaderde gegevens (waarbij ze de waarden van de benaderde gegevens negeren) en proberen toekomstige adressen te raden die nuttig kunnen zijn. DMP is in deze zin anders omdat het naast adressen ook datawaarden gebruikt om voorspellingen te doen (adressen voorspellen om naartoe te springen en vooraf ophalen). In het bijzonder, als een datawaarde een pointer “lijkt te zijn”, zal deze worden behandeld als een “adres” (terwijl dit in werkelijkheid niet het geval is!) en zullen de gegevens van dat “adres” in de cache worden geplaatst. De toegang van dit adres tot de cache is zichtbaar en lekt via de zijkanalen van de cache.
Onze aanval maakt misbruik van dit feit. We kunnen de encryptiesleutels niet rechtstreeks lekken, maar wat we wel kunnen doen is de tussenliggende gegevens binnen het encryptie-algoritme manipuleren zodat deze eruitzien als een pointer via een gekozen injectie-aanval. De DMP ziet dan dat de gegevenswaarde “lijkt op” een adres, en haalt de gegevens van dat “adres” op in de cache, waardoor het “adres” lekt. Het gaat ons niet om de waarde van de vooraf opgehaalde gegevens, maar het feit dat de tussenliggende gegevens eruit zien als een adres dat zichtbaar is in het cachekanaal is voldoende om na verloop van tijd de geheime sleutel te onthullen.
Dit is niet de eerste keer dat er een DMP-kwetsbaarheid wordt ontdekt in Apple Silicon. In 2022 ontdekte een ander onderzoeksteam een object dat ze Augury noemden.
Een oplossing is mogelijk, maar heeft invloed op de prestaties
Onderzoekers zeggen dat, aangezien het probleem niet kan worden opgelost, Apple het beste oplossingen kan implementeren, maar dit zou de prestaties ernstig schaden.
Een van de meest effectieve manieren om dit probleem te beperken, bekend als cijfertekstversleuteling, is een goed voorbeeld. Versleuteling werkt door het toevoegen/verwijderen van maskers aan gevoelige waarden voordat/nadat ze uit het geheugen worden opgeslagen/geladen. Hierdoor wordt de interne status van het versleutelingsalgoritme effectief gerandomiseerd, waardoor wordt voorkomen dat de aanvaller het kan controleren en zo GoFetch-aanvallen worden geneutraliseerd. Helaas, aldus de onderzoekers, is deze verdediging algoritme-specifiek en vaak duur, waardoor in sommige gevallen mogelijk de benodigde computerbronnen worden verdubbeld, zoals bij Diffie-Hellman-sleuteluitwisselingen.
Een andere verdediging is het uitvoeren van cryptografische bewerkingen op de eerder genoemde Efficiency-kernen, ook wel bekend als Icestorm-kernen, die geen DMP hebben. Eén benadering is om alle codeerinstructies op deze kernen uit te voeren. Deze verdediging is ook niet ideaal. Niet alleen zouden onaangekondigde wijzigingen kunnen worden aangebracht om DMP-functionaliteit aan efficiëntiecentra toe te voegen, het uitvoeren van cryptografische bewerkingen hier zou waarschijnlijk de tijd die nodig is om bewerkingen te voltooien met een niet-triviale marge vergroten.
Maar de risico's in de echte wereld zijn laag
Om misbruik te kunnen maken van de kwetsbaarheid zou een aanvaller de gebruiker moeten misleiden om een kwaadaardige app te installeren. Niet-ondertekende Mac-apps worden standaard geblokkeerd.
Bovendien is de tijd die nodig is om de aanval uit te voeren erg groot, variërend van 54 minuten tot 10 uur in de tests van de onderzoekers, waardoor de applicatie lang zal moeten draaien.
Apple heeft er tot nu toe voor gekozen om geen bescherming tegen de Augury DMP-exploit te implementeren, waarschijnlijk omdat de prestatiewinst niet gerechtvaardigd zou worden door de zeer lage realiteit van een aanval in de echte wereld. De onderzoekers hier deelden hun bevindingen afgelopen december met Apple, en tot nu toe is er nog geen oplossing geïmplementeerd, ongetwijfeld om dezelfde reden. Het bedrijf heeft niet publiekelijk gereageerd.
De langetermijnoplossing zou zijn dat Apple de kwetsbaarheid bij de DMP-implementatie in het toekomstige chipontwerp zou aanpakken.
Beeld uit fotografie Ali Mahmoudi op Ontsplashen
FTC: We gebruiken automatische partnerlinks om inkomsten te verdienen. meer.
‘Reader. Furious humble travel enthusiast. Extreme food scientist. Writer. Communicator.’
