מחקר שנערך לאחרונה העלה אזעקות לאחר שזיהה פגיעות בשבבים מסדרת M של אפל שיש לה פוטנציאל לאפשר להאקרים לאחזר את המפתחות הפרטיים ההצפנים של משתמשי מק.
בהיעדר פתרון ישיר, השיטה האחרת המוצעת על ידי החוקרים עלולה לפגוע באופן דרסטי בביצועים.
שבבי Apple M-Series רגישים לחילוץ מפתחות
הפגיעות המדוברת מתפקדת כערוץ צדדי, ובכך מאפשרת חילוץ של מפתחות מקצה לקצה כאשר שבבי אפל מבצעים יישומים של פרוטוקולים קריפטוגרפיים הנפוצים. בשל מקורו במבנה המיקרו-ארכיטקטוני של הסיליקון, תיקון ישיר אינו בר ביצוע, בניגוד לפגיעויות מסורתיות.
במקום זאת, לדווח הדגיש תיקון המסתמך על שילוב הגנות בתוכנות הצפנה של צד שלישי. עם זאת, גישה זו עשויה "לפגום" באופן משמעותי את הביצועים של שבבים מסדרת M במהלך משימות הצפנה, במיוחד בולטות בדורות קודמים כמו M1 ו-M2.
החוקרים הוסיפו גם כי ניצול הפגיעות מתרחש כאשר הן פעולת ההצפנה הממוקדת והן אפליקציה זדונית, הפועלת עם הרשאות מערכת רגילות של המשתמש, מעובדות על אותו אשכול CPU.
"התובנה העיקרית שלנו היא שבעוד שה-DMP מפנה רק מצביעים, תוקף יכול ליצור קלט של תוכניות כך שכאשר כניסות אלו מתערבבות עם סודות קריפטוגרפיים, ניתן להנדס את מצב הביניים המתקבל כך שייראה כמו מצביע אם ורק אם הסוד מספק את התוקף -פרדיקט נבחר."
המחקר האחרון שופך אור על, מה שמוצג בתור, תופעה שהתעלמה ממנה לגבי DMPs בתוך סיליקון Apple. במקרים מסוימים, DMPs אלה מפרשים לא נכון את תוכן הזיכרון, כולל חומר מפתח קריטי, כערך המצביע המשמש לטעינת נתונים אחרים. כתוצאה מכך, ה-DMP ניגש לעתים קרובות ומפרש את הנתונים האלה ככתובת, מה שמוביל לניסיונות גישה לזיכרון, הסביר צוות החוקרים.
תהליך זה, המכונה "הרחקה" של "מצביעים", כולל קריאת נתונים והדלפתם מבלי משים דרך ערוץ צדדי, המייצג הפרה ברורה של פרדיגמת הזמן הקבוע.
GoFetch
החוקרים זיהו את הפריצה הזו כניצול "GoFetch" תוך שהם מסבירים שהוא פועל על אותן הרשאות משתמש כמו רוב יישומי הצד השלישי, ומנצל נקודות תורפה באשכולות של שבבים מסדרת M. זה משפיע על אלגוריתמי הצפנה קלאסיים ועמידים לקוונטים כאחד, כאשר זמני החילוץ משתנים בין דקות לשעות בהתאם לגודל המפתח.
למרות ידע קודם על איומים דומים, החוקרים אמרו כי GoFetch מפגין התנהגות אגרסיבית יותר בשבבים של אפל, מה שמהווה סיכון אבטחה משמעותי.
הצעה מוגבלת 2024 לקוראי CryptoPotato ב-Bybit: השתמש בקישור זה להירשם ולפתוח עמדה של $500 BTC-USDT ב-Bybit Exchange בחינם!
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://cryptopotato.com/apple-users-beware-reported-flaw-exposes-mac-users-crypto-private-keys/
- :יש ל
- :הוא
- :לֹא
- 1
- 2024
- a
- היעדרות
- גישה
- הוסיף
- כתובת
- לאחר
- תוֹקפָּנִי
- AI
- אלגוריתמים
- דוֹמֶה
- גם
- an
- ו
- תפוח עץ
- בקשה
- יישומים
- גישה
- ARE
- AS
- At
- תוקף
- ניסיונות
- רקע
- באנר
- BE
- התנהגות
- להיות
- לְהִזָהֵר
- גבול
- שניהם
- הפרה
- by
- עקיפה
- החלפת ביטביט
- CAN
- מקרים
- מסוים
- ערוץ
- שבבי
- ברור
- אשכול
- צֶבַע
- בדרך כלל
- תוכן
- לעצב
- קריטי
- קריפטו
- קריפטוגרפי
- CryptoPotato
- נתונים
- הגנות
- מדגים
- תלוי
- ישיר
- באופן דרסטי
- ראוי
- בְּמַהֲלָך
- מוקדם יותר
- מוּעֳסָק
- לאפשר
- הצף
- סוף
- מקצה לקצה
- מהונדס
- להנות
- במיוחד
- ברור
- חליפין
- לבצע
- מוסבר
- המסביר
- לנצל
- ניצול
- מנצל
- חיצוני
- הוֹצָאָה
- אפשרי
- לסדר
- פגם
- בעד
- בתדירות גבוהה
- החל מ-
- פונקציות
- דורות
- לפרוץ
- האקרים
- מודגש
- שעות
- אולם
- HTTPS
- מזוהה
- זיהוי
- if
- יישומים
- in
- מבלי משים
- כולל
- תשומות
- תובנה
- שילוב
- פנימי
- אל תוך
- IT
- שֶׁלָה
- jpg
- מפתח
- מפתחות
- ידע
- ידוע
- האחרון
- מוביל
- דולף
- אוֹר
- כמו
- טוען
- נראה
- נראה כמו
- M2
- מק
- זדוני
- שולים
- חוֹמֶר
- מאי..
- זכרון
- שיטה
- יכול
- דקות
- לערבב
- יותר
- רוב
- ללא חתימה
- of
- הַצָעָה
- on
- רק
- לפתוח
- פועל
- פועל
- מבצע
- מקור
- אחר
- פרדיגמה
- תיקון
- ביצועים
- תופעה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- עמדה
- פוטנציאל
- קודם
- פְּרָטִי
- מפתחות פרטיים
- הרשאות
- תהליך
- מעובד
- תָכְנִית
- פרוטוקולים
- שאלה
- מורם
- הקוראים
- קריאה
- לאחרונה
- בדבר
- הירשם
- מסתמך
- דווח
- המייצג
- מחקר
- חוקרים
- החלטה
- תוצאה
- וכתוצאה מכך
- הסיכון
- אמר
- אותו
- סוד
- סודות
- אבטחה
- שיתוף
- סככות
- צד
- משמעותי
- באופן משמעותי
- סיליקון
- דומה
- מידה
- So
- תוכנה
- מוצק
- ממומן
- תֶקֶן
- מדינה
- מִבְנֶה
- לימוד
- apt
- מערכת
- ממוקד
- משימות
- נבחרת
- זֶה
- השמיים
- בכך
- אלה
- צד שלישי
- זֶה
- אלה
- איומים
- דרך
- פִּי
- ל
- מסורתי
- בניגוד
- משתמש
- משתמשים
- מנוצל
- ערך
- משתנה
- פגיעויות
- פגיעות
- מה
- מה
- מתי
- בזמן
- עם
- בתוך
- זפירנט