ბოლო აკადემიური გარღვევის შედეგად, მკვლევარებმა გამოავლინეს სერიოზული დაუცველობა Apple-ის M-სერიის ჩიპებში, რაც, პირველ რიგში, გავლენას ახდენს კრიპტო აქტივების უსაფრთხოებაზე.
ეს ხარვეზი, რომელიც დეტალურადაა აღწერილი პრესტიჟული ინსტიტუტების მეცნიერთა პუბლიკაციაში, საშუალებას აძლევს თავდამსხმელებს წვდომა მიიღონ საიდუმლო გასაღებებზე კრიპტოგრაფიული ოპერაციების დროს.
რამდენად დაუცველია MacBooks კრიპტო ჰაკერების მიმართ
საკითხი ღრმად არის გამჯდარი Apple-ის M1 და M2 ჩიპების მიკროარქიტექტურაში. შესაბამისად, პირდაპირი პატჩი შეუძლებელია. ამის ნაცვლად, შერბილება მოითხოვს კორექტირებას მესამე მხარის კრიპტოგრაფიულ პროგრამაში, რაც პოტენციურად არღვევს შესრულებას.
ამ დაუცველობის გულში არის მონაცემთა მეხსიერებაზე დამოკიდებული prefetcher (DMP) ამ ჩიპებში. ეს ფუნქცია მიზნად ისახავს მონაცემების პროგნოზირებას და წინასწარ ჩატვირთვას, რაც ამცირებს CPU-ს და მეხსიერების დაყოვნებას.
თუმცა, DMP-ის უნიკალურმა ქცევამ შეიძლება შეცდომით განმარტოს მეხსიერების შინაარსი, როგორც მაჩვენებლის მისამართები, რაც გამოიწვევს მონაცემთა გაუთვალისწინებელ გაჟონვას გვერდითი არხებით.
ექსპერტები, როგორიცაა ბორუ ჩენი ილინოისის უნივერსიტეტიდან, ურბანა-შამპენი და იინჩენ ვანგი ტეხასის უნივერსიტეტიდან ოსტინში, განმარტავენ, რომ თავდამსხმელებს შეუძლიათ გამოიყენონ ამ პრეფეტჩერის ქცევა. ისინი ამას მიაღწევენ ისეთი მონაცემების შექმნით, რომლებსაც DMP შეცდომით ცნობს მისამართებად, რითაც ირიბად გაჟონავს დაშიფვრის გასაღებები. ეს პროცესი ცენტრალურია ახლად გამოვლენილი GoFetch შეტევისთვის.
წაიკითხეთ მეტი: კრიპტოპროექტის უსაფრთხოება: საფრთხის ადრეული გამოვლენის გზამკვლევი
„ჩვენი მთავარი შეხედულება არის ის, რომ მაშინ, როცა DMP მხოლოდ უთვალთვალებს მითითებებს, თავდამსხმელს შეუძლია პროგრამული შეყვანის შექმნა ისე, რომ როდესაც ეს შენატანები შერეულია კრიპტოგრაფიულ საიდუმლოებებთან, შედეგად მიღებული შუალედური მდგომარეობა შეიძლება შეიქმნას ისე, რომ გამოიყურებოდეს მაჩვენებელს, თუ და მხოლოდ იმ შემთხვევაში, თუ საიდუმლო აკმაყოფილებს თავდამსხმელს. - არჩეული პრედიკატი, - განმარტეს მკვლევარებმა.
აღსანიშნავია, რომ GoFetch არ საჭიროებს root წვდომას შესასრულებლად. ის მუშაობს სტანდარტული მომხმარებლის პრივილეგიებით macOS სისტემებზე.
თავდასხმა ეფექტური აღმოჩნდა როგორც ჩვეულებრივი, ისე კვანტური რეზისტენტული დაშიფვრის მეთოდების წინააღმდეგ, გასაღებების ამოღება დროის ფარგლებში, რომელიც განსხვავდება კრიპტოგრაფიული პროტოკოლის მიხედვით.
ამ საფრთხის წინაშე მყოფმა დეველოპერებმა სირთულის ნავიგაცია უნდა მოახდინონ. მათ უნდა განახორციელონ ძლიერი დაცვა, რომელიც ეფექტურია, მაგრამ მნიშვნელოვნად შეანელებს პროცესორის მუშაობას კრიპტოგრაფიული ამოცანების დროს.
შერბილების ერთ-ერთი ასეთი ტაქტიკა, შიფრული ტექსტის დაბრმავება, თუმცა ძლიერი, შეიძლება მოითხოვდეს გაცილებით მეტ გამოთვლით ძალას, განსაკუთრებით კი კონკრეტულ საკვანძო გაცვლაზე.
ეს GoFetch დაუცველობის გამოვლენა არის ციფრული საფრთხეების გაზრდის ფართო კონტექსტის ნაწილი, განსაკუთრებით კრიპტო მფლობელებისთვის. ბოლო გამჟღავნებამ მიუთითა უსაფრთხოების მნიშვნელოვან ხარვეზებზე iOS-სა და macOS-ში, რომლებიც გამოიყენება კრიპტო თაღლითებისთვის.
წაიკითხეთ მეტი: კრიპტო საფულის უსაფრთხოების 9 რჩევა თქვენი აქტივების დასაცავად
ინსტიტუტები, როგორიცაა სტანდარტებისა და ტექნოლოგიების ეროვნული ინსტიტუტი და კიბერუსაფრთხოების ექსპერტები, ხაზს უსვამენ დაუცველობას ფართოდ გამოყენებულ აპებსა და ოპერაციულ სისტემებში, მხარს უჭერენ მომხმარებელთა გაზრდილი სიფრთხილისა და სისტემის სწრაფი განახლებების დაცვას.
პასუხისმგებლობის შეზღუდვის განაცხადი
Trust Project-ის მითითებების შესაბამისად, BeInCrypto მოწოდებულია მიუკერძოებელი, გამჭვირვალე ანგარიშგების მიმართ. ეს სიახლე მიზნად ისახავს ზუსტი, დროული ინფორმაციის მიწოდებას. თუმცა, მკითხველებს ურჩევენ, დამოუკიდებლად გადაამოწმონ ფაქტები და გაიარონ კონსულტაცია პროფესიონალთან ამ შინაარსის საფუძველზე რაიმე გადაწყვეტილების მიღებამდე. გთხოვთ, გაითვალისწინოთ, რომ ჩვენი წესები და პირობები, კონფიდენციალურობის პოლიტიკა და პასუხისმგებლობის უარყოფა განახლებულია.
წყარო: https://beincrypto.com/apple-macbook-crypto-theft-target/