Mewn datblygiad academaidd diweddar, mae ymchwilwyr wedi datgelu bregusrwydd difrifol o fewn sglodion cyfres M Apple, sy'n effeithio'n bennaf ar ddiogelwch asedau crypto.
Mae'r diffyg hwn, y manylir arno mewn cyhoeddiad gan ysgolheigion o sefydliadau mawreddog, yn galluogi ymosodwyr i gael mynediad at allweddi cyfrinachol yn ystod gweithrediadau cryptograffig.
Sut Mae MacBooks yn Agored i Hac Crypto
Mae'r mater wedi'i wreiddio'n ddwfn ym micro-bensaernïaeth sglodion M1 a M2 Apple. O ganlyniad, mae darn uniongyrchol yn amhosibl. Yn lle hynny, mae lliniaru yn gofyn am addasiadau mewn meddalwedd cryptograffig trydydd parti, a allai beryglu perfformiad.
Wrth wraidd y bregusrwydd hwn mae'r rhagfetiwr cof data (DMP) yn y sglodion hyn. Nod y nodwedd hon yw rhagfynegi a rhag-lwytho data, gan felly leihau cuddni CPU a chof.
Fodd bynnag, gall ymddygiad unigryw DMP ddehongli cynnwys cof ar gam fel cyfeiriadau pwyntydd, gan arwain at ollyngiadau data anfwriadol trwy sianeli ochr.
Mae arbenigwyr fel Boru Chen o Brifysgol Illinois Urbana-Champaign ac Yingchen Wang o Brifysgol Texas yn Austin yn esbonio y gall ymosodwyr ecsbloetio ymddygiad y prefetcher hwn. Maent yn cyflawni hyn trwy grefftio mewnbynnau y mae'r DMP yn eu hadnabod ar gam fel cyfeiriadau, gan ollwng allweddi amgryptio yn anuniongyrchol. Mae'r broses hon yn ganolog i'r ymosodiad GoFetch sydd newydd ei nodi.
Darllen mwy: Diogelwch Prosiect Crypto: Canllaw i Ganfod Bygythiad Cynnar
“Ein mewnwelediad allweddol yw, er bod y DMP yn cyfeirio at awgrymiadau yn unig, gall ymosodwr grefftio mewnbynnau rhaglen fel, pan fydd y mewnbynnau hynny'n cymysgu â chyfrinachau cryptograffig, y gellir peiriannu'r cyflwr canolradd sy'n deillio o hynny i edrych fel pwyntydd os a dim ond os yw'r gyfrinach yn bodloni ymosodwr. - rhagfynegiad a ddewiswyd,” esboniodd yr ymchwilwyr.
Yn rhyfeddol, nid oes angen mynediad gwraidd ar GoFetch i weithredu. Mae'n gweithredu gyda breintiau defnyddiwr safonol ar systemau macOS.
Mae'r ymosodiad wedi profi'n effeithiol yn erbyn dulliau amgryptio confensiynol a gwrthsefyll cwantwm, gan dynnu allweddi o fewn amserlen sy'n amrywio yn ôl protocol cryptograffig.
Yn wyneb y bygythiad hwn, rhaid i ddatblygwyr lywio'r cymhlethdod. Mae angen iddynt weithredu amddiffynfeydd cadarn a allai, er eu bod yn effeithiol, arafu perfformiad proseswyr yn sylweddol yn ystod tasgau cryptograffig.
Er bod un dacteg liniaru o'r fath, gallai dallu ciphertext, er ei fod yn rymus, fod angen llawer mwy o bŵer cyfrifiannol, gan effeithio'n arbennig ar gyfnewidfeydd allweddol penodol.
Mae'r datguddiad bregusrwydd GoFetch hwn yn rhan o gyd-destun ehangach o fygythiadau digidol cynyddol, yn enwedig i ddeiliaid crypto. Mae datgeliadau diweddar wedi tynnu sylw at fylchau diogelwch sylweddol yn iOS a macOS, a ecsbloetiwyd ar gyfer sgamiau crypto.
Darllenwch fwy: 9 Awgrymiadau Diogelwch Waled Crypto i Ddiogelu Eich Asedau
Mae sefydliadau fel y Sefydliad Cenedlaethol Safonau a Thechnoleg ac arbenigwyr seiberddiogelwch wedi tynnu sylw at y gwendidau mewn apiau a systemau gweithredu a ddefnyddir yn eang, gan eiriol dros fwy o rybudd gan ddefnyddwyr a diweddariadau system prydlon.
Ymwadiad
Yn unol â chanllawiau Prosiect yr Ymddiriedolaeth, mae BeInCrypto wedi ymrwymo i adrodd diduedd a thryloyw. Nod yr erthygl newyddion hon yw darparu gwybodaeth gywir ac amserol. Fodd bynnag, cynghorir darllenwyr i wirio ffeithiau yn annibynnol ac ymgynghori â gweithiwr proffesiynol cyn gwneud unrhyw benderfyniadau yn seiliedig ar y cynnwys hwn. Sylwch fod ein Telerau ac Amodau, Polisi Preifatrwydd, a Gwadiadau wedi'u diweddaru.
Ffynhonnell: https://beincrypto.com/apple-macbook-crypto-theft-target/