«Невиправна» помилка в чіпі Apple M-серії може дозволяти доступ до зашифрованих даних

Нові висновки вчених виявили серйозну вразливість у чіпах Apple серії M, яка потенційно може надати зловмисникам можливість отримати доступ до конфіденційних ключів шифрування з пристроїв Mac.

У звіті, опублікованому 21 березня групою дослідників з кількох університетів США, вразливість визначена як експлойт побічного каналу, який дозволяє хакерам незаконно отримувати ключі наскрізного шифрування, коли чіпи Apple виконують широко використовувані криптографічні протоколи..

Однак, на відміну від звичайних уразливостей, які можна усунути за допомогою прямих виправлень, ця конкретна проблема глибоко вкорінена в мікроархітектурному дизайні самого кремнію, що називається «невиправним».

Щоб належним чином усунути недолік, необхідно буде використовувати стороннє криптографічне програмне забезпечення, яке може серйозно погіршити продуктивність чіпів Apple M-серії, особливо попередніх ітерацій, таких як чіпи M1 і M2.

Ці висновки підкреслюють серйозний недолік і виклик інфраструктури апаратної безпеки Apple. У разі використання хакери можуть перехопити та використати шаблони доступу до пам’яті для отримання конфіденційної інформації, такої як ключі шифрування, що використовуються криптографічними програмами.

За темою: співзасновник Apple виграв проти YouTube у судовому процесі щодо шахрайства з біткойнами

Дослідники назвали цей тип злому експлойтом «GoFetch». Хак безперебійно працює в середовищі користувача та вимагає лише стандартних привілеїв користувача, подібних до тих, які потрібні звичайним програмам.

Після того, як дослідження з’явилося, користувачі онлайн-форумів Mac почали сумніватися, чи є зараз причина для серйозного занепокоєння чи необхідні дії щодо брелоків паролів.

Один користувач сказав, що вірить, що Apple пом’якшить проблему безпосередньо в їхній ОС — якщо ні, вони будуть «більш хвилюватися».

Інший користувач сказав, що цей недолік був відомий Apple протягом деякого часу, і зазначив, що, можливо, саме тому Apple M3 має «додаткову інструкцію для вимкнення DMP». Користувач сказав, що попереднє дослідження на цю тему називалося «провісником» і датується 2022 роком.

Цей висновок стався, коли Apple опинилася в масштабному антимонопольному позові з Міністерством юстиції США (DOJ), яке стверджує, що правила його магазину додатків і «монополія» незаконно придушують конкуренцію та придушують інновації.

Міністерство юстиції також стверджує, що Apple закрила доступ до конкуруючих цифрових гаманців, які надають «широкий спектр розширених функцій», одночасно блокуючи розробників від надання власних платіжних послуг користувачам.