قام الباحثون بتطوير قناة جانبية لاستغلال وحدات المعالجة المركزية (CPUs) الخاصة بشركة Apple، مما يمكّن المهاجمين المتطورين من استخراج المعلومات الحساسة من المتصفحات.
عادةً ما يتم التغاضي عن هجمات القنوات الجانبية، وغالبًا ما تكون نظيرات مادية لاختراقات البرامج التقليدية. فبدلاً من كلمة مرور غير آمنة أو ثغرة أمنية في أحد البرامج، يستفيدون من المعلومات الإضافية التي ينشئها نظام الكمبيوتر أو الأجهزة - في شكل صوت أو ضوء أو إشعاع كهرومغناطيسي، على سبيل المثال، أو في الوقت الذي يستغرقه إكمال بعض العمليات. الحسابات (هجوم توقيت).
يوم الأربعاء، أربعة باحثين - من بينهم اثنان من المسؤولين عن الكشف ثغرة أمنية في معالج Spectre مرة أخرى في عام 2018 - نشرت التفاصيل من هذا الهجوم، الذي أطلقوا عليه اسم "iLeakage"، والذي يؤثر على جميع موديلات iPhone وiPad وMacBook الحديثة.
وأبلغ الباحثون شركة آبل بالنتائج التي توصلوا إليها في 12 سبتمبر 2022. وفقا لموقعه على الانترنت، ومنذ ذلك الحين طورت الشركة وسيلة للتخفيف. ومع ذلك، لا يزال يعتبر غير مستقر، ولا يتم تمكينه على الأجهزة بشكل افتراضي، والتخفيف ممكن فقط على أجهزة Mac، وليس الأجهزة المحمولة.
في التعليقات المقدمة إلى Dark Reading في الخلفية، كتب متحدث باسم شركة Apple: "هذا الدليل على المفهوم يعزز فهمنا لهذه الأنواع من التهديدات. نحن على علم بالمشكلة وسيتم معالجتها في إصدار البرنامج المقرر التالي.
كيف يعمل iLeakage
يستفيد iLeakage من A- و وحدات المعالجة المركزية Apple Silicon من السلسلة M القدرة على تنفيذ التنفيذ المضاربة.
التنفيذ التأملي هو طريقة تتنبأ من خلالها وحدات المعالجة المركزية (CPU) الحديثة بالمهام حتى قبل أن تتم المطالبة بها، من أجل تسريع معالجة المعلومات. "هذه التقنية موجودة منذ أكثر من 20 عامًا، واليوم تستخدمها جميع وحدات المعالجة المركزية الحديثة - فهي تعمل على تسريع المعالجة بشكل كبير، حتى مع مراعاة الأوقات التي قد تخطئ فيها التعليمات المتوقعة،" يوضح جون غالاغر، نائب رئيس Viakoo Labs.
تكمن المشكلة في أن "ذاكرة التخزين المؤقت داخل وحدة المعالجة المركزية تحتوي على الكثير من البيانات القيمة، بما في ذلك ما يمكن تنظيمه للتعليمات القادمة. يستخدم iLeakage إمكانات Apple WebKit داخل المتصفح لاستخدام JavaScript للوصول إلى تلك المحتويات.
وعلى وجه التحديد، استخدم الباحثون أداة جديدة تعتمد على التكهنات لقراءة محتويات صفحة ويب أخرى عندما ينقر الضحية على صفحة الويب الضارة الخاصة بهم.
"وحده، لن يتيح WebKit الكشف عن محتويات ذاكرة التخزين المؤقت، ولا كيفية تنفيذ A-Series وM-Series للتنفيذ التخميني - إن الجمع بين الاثنين معًا هو الذي يؤدي إلى هذا الاستغلال،" يوضح Gallagher.
خليفة الانهيار/سبيكتر
"يعتمد هذا على سلسلة من الهجمات ضد الثغرات الأمنية في وحدة المعالجة المركزية والتي بدأت في عام 2017 تقريبًا الانهيار والشبح"، يشير ليونيل ليتي، كبير مهندسي الأمن في شركة Menlo Security. "على مستوى عالٍ، تريد التفكير في التطبيقات والعمليات، وتثق في أن نظام التشغيل بمساعدة الأجهزة يعزلها بشكل صحيح عن بعضها البعض،" لكن هذين الاستغلالين كسرا العزلة الأساسية بين التطبيقات المختلفة، والتطبيق والتشغيل ويقول إننا نميل إلى اعتبار النظام أمرًا مفروغًا منه كمستخدمين.
iLeakage إذن هو خليفة روحي يركز على كسر العزلة بين علامات تبويب المتصفح.
والخبر السار هو أن الباحثين وصفوا iLeakage، في قسم الأسئلة الشائعة بموقعهم على الويب، بأنه "هجوم صعب للغاية للتنسيق من البداية إلى النهاية"، والذي "يتطلب معرفة متقدمة بهجمات القنوات الجانبية المستندة إلى المتصفح وتنفيذ Safari". وأشاروا أيضًا إلى أن الاستغلال الناجح لم يتم إثباته في البرية.
إذا كنت مهاجمًا قادرًا بما يكفي ليأتي ويجرب ذلك، فإن هذه الطريقة قوية بما يكفي لامتصاص أي بيانات تتدفق عبر الإنترنت: تسجيلات الدخول، وسجلات البحث، وتفاصيل بطاقة الائتمان، وما لديك. في يوتيوب أشرطة الفيديو، أظهر الباحثون كيف يمكن لاستغلالهم أن يكشف صناديق البريد الوارد الخاصة بالضحايا في Gmail، وسجلات المشاهدة الخاصة بهم على YouTube، وكلمات المرور الخاصة بهم على Instagram، على سبيل المثال لا الحصر.
يتأثر مستخدمو iPhone بشكل خاص
على الرغم من أنه يستفيد من خصوصيات محرك جافا سكريبت في Safari على وجه التحديد، إلا أن iLeakage يؤثر على جميع المتصفحات على نظام التشغيل iOS، لأن سياسات Apple تجبر جميع تطبيقات متصفح iPhone على استخدام محرك Safari.
"إن Chrome وFirefox وEdge على iOS هي مجرد أغلفة أعلى Safari توفر ميزات إضافية مثل مزامنة الإشارات المرجعية والإعدادات. وأوضح الباحثون أن كل تطبيقات المتصفح المدرجة في متجر التطبيقات تقريبًا معرضة لخطر iLeakage.
يواجه مستخدمو iPhone مشكلة مضاعفة، لأن أفضل إصلاح أطلقته شركة Apple حتى الآن يعمل فقط على أجهزة MacBooks (وفي هذا الصدد، فقط في حالة غير مستقرة). ولكن من جانبه، يدعم غالاغر قدرة شركة أبل على تصميم علاج فعال.
"عادةً ما يكون من الصعب تصحيح الثغرات الأمنية على مستوى الشريحة، ولهذا السبب ليس من المستغرب عدم وجود حل لهذه المشكلة في الوقت الحالي. سيستغرق الأمر بعض الوقت، ولكن في النهاية إذا أصبحت هذه ثغرة أمنية مستغلة بشكل حقيقي، فمن المرجح أن يكون التصحيح متاحًا.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/vulnerabilities-threats/safari-side-channel-attack-enables-browser-theft
- :لديها
- :يكون
- :ليس
- $ UP
- 12
- 20
- 20 سنة
- 2017
- 2018
- 2022
- 7
- a
- القدرة
- من نحن
- الوصول
- المحاسبة
- تناولت
- متقدم
- السلف
- مميزات
- تؤثر
- ضد
- الكل
- وحده
- على طول
- أيضا
- an
- و
- آخر
- كان متوقعا
- أي وقت
- التطبيق
- المتجر
- تفاح
- تطبيق
- التطبيقات
- التطبيقات
- هي
- حول
- AS
- At
- مهاجمة
- الهجمات
- متاح
- علم
- الى الخلف
- خلفية
- ظهورهم
- BE
- لان
- يصبح
- كان
- قبل
- أفضل
- ما بين
- الإشارات المرجعية
- كسر
- حطم
- المتصفح
- المتصفحات
- يبني
- لكن
- by
- مخبأ
- قدرات
- قادر على
- الطاقة الإنتاجية
- فيزا وماستركارد
- معين
- رئيس
- الكروم
- مجموعة
- تأتي
- تعليقات
- حول الشركة
- إكمال
- الحسابات
- الكمبيوتر
- مفهوم
- بناء على ذلك
- نظرت
- محتويات
- استطاع
- النظراء
- ائتمان
- بطاقة إئتمان
- غامق
- قراءة مظلمة
- البيانات
- الترتيب
- تظاهر
- وصف
- تصميم
- تفاصيل
- المتقدمة
- الأجهزة
- مختلف
- صعبة
- على نحو مضاعف
- حافة
- الطُرق الفعّالة
- تمكين
- تمكين
- تمكن
- تمكين
- النهائي إلى نهاية
- محرك
- كاف
- خاصة
- حتى
- كل
- مثال
- أمثلة
- شرح
- ويوضح
- استغلال
- استغلال
- استغلال
- مآثر
- احتفل على
- استخراج
- الأسئلة الشائعة
- بعيدا
- المميزات
- قليل
- النتائج
- برنامج فايرفوكس
- حل
- ويركز
- في حالة
- القوة
- النموذج المرفق
- أربعة
- تبدأ من
- أساسي
- ربح
- يولد
- دولار فقط واحصل على خصم XNUMX% على جميع
- خير
- منح
- الخارقة
- الثابت
- أجهزة التبخير
- يملك
- he
- مساعدة
- مرتفع
- له
- يحمل
- كيفية
- لكن
- HTTPS
- if
- التنفيذ
- in
- بما فيه
- معلومات
- وأبلغ
- في الداخل
- انستقرام
- تعليمات
- آيفون
- باد
- اي فون
- عزل
- قضية
- IT
- جافا سكريبت
- جون
- JPG
- م
- المعرفة
- مختبرات
- يؤدي
- مستوى
- ضوء
- على الأرجح
- خط
- ليونيل
- المدرج
- الكثير
- أمر
- طريقة
- ربما
- مخففا
- تخفيف
- الجوال
- أجهزة محمولة
- عارضات ازياء
- تقدم
- عين
- تقريبا
- جديد
- أخبار
- التالي
- وأشار
- الآن
- of
- غالبا
- on
- ONE
- online
- فقط
- تعمل
- نظام التشغيل
- or
- طلب
- لنا
- خارج
- على مدى
- جزء
- كلمة المرور
- كلمات السر
- بقعة
- نفذ
- مادي
- النظراء الماديين
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- نقاط
- سياسات الخصوصية والبيع
- ممكن
- قوي
- تنبأ
- رئيس
- العمليات
- معالجة
- المعالج
- البرنامج
- دليل
- دليل على المفهوم
- بصورة صحيحة
- تزود
- المقدمة
- بدلا
- RE
- عرض
- نادي القراءة
- حقيقي
- الأخيرة
- الافراج عن
- صدر
- يتطلب
- الباحثين
- مسؤول
- حق
- s
- سفاري
- يقول
- المقرر
- بحث
- القسم
- أمن
- حساس
- سبعة
- إعدادات
- بشكل ملحوظ
- السيليكون
- ببساطة
- منذ
- تطبيقات الكمبيوتر
- متطور
- على وجه التحديد
- طيف
- المضاربة
- سرعة
- بسرعة
- المتحدث باسم
- بدأت
- الولايه او المحافظه
- لا يزال
- متجر
- ناجح
- هذه
- مفاجئ
- نظام
- أخذ
- يأخذ
- المهام
- تقنية
- من
- أن
- •
- سرقة
- من مشاركة
- then
- هناك.
- تشبه
- هم
- اعتقد
- هؤلاء
- التهديدات
- وهكذا
- الوقت
- مرات
- توقيت
- إلى
- اليوم
- سويا
- تيشرت
- تقليدي
- حركة المرور
- مشكلة
- الثقة
- محاولة
- اثنان
- أنواع
- عادة
- في النهاية
- فهم
- غير مضمون
- المقبلة
- تستخدم
- مستعمل
- المستخدمين
- يستخدم
- عادة
- القيمة
- Ve
- رذيلة
- Vice President
- ضحية
- ضحايا
- نقاط الضعف
- الضعف
- الضعيفة
- تريد
- شاهد
- we
- طقم الويب
- الموقع الإلكتروني
- الأربعاء
- ابحث عن
- متى
- التي
- لماذا
- بري
- سوف
- مع
- أعمال
- سوف
- خاطئ
- كتب
- سنوات
- أنت
- موقع YouTube
- زفيرنت