蘋果的M系列芯片的缺陷:加密安全面臨新的挑戰
[TL; DR]
蘋果的一些MacOS版本和iPad平板的M系列芯片存在缺陷。
蘋果表示,其MacOS和iPad平板電腦具有強大的安全措施,以防止任何惡意利用。
對於使用蘋果的MacOS和iPad平板電腦存在漏洞的加密貨幣用戶,最好將他們的數字資產從中移除。
關鍵詞: 蘋果M系列芯片漏洞,無法修復的加密安全漏洞,GoFetch利用蘋果,M1和M2芯片安全漏洞,密碼軟件蘋果芯片,提取加密密鑰蘋果,側信道利用M系列,蘋果芯片安全漏洞,數字威脅macOS,蘋果加密漏洞緩解,加密貨幣騙局,加密貨幣騙子,加密貨幣利用
介紹
使用蘋果的M1和M2芯片的計算機和iPad的加密貨幣用戶面臨安全威脅,可能導致加密貨幣被盜。因此,這樣的加密貨幣用戶應該特別小心保護他們的數字資產。
本文探討了蘋果M系列芯片中的缺陷,以及用戶如何減輕它們帶來的風險。我們還將討論蘋果電腦和平板用戶如何保護他們的數字資產。
發現漏洞
一組研究人員發現了蘋果的M系列芯片中的一個嚴重漏洞,可能會影響其中存儲的加密貨幣等數字資產的安全性。在最近的一份報告中,來自美國多所頂尖大學的學者們解釋了加密貨幣騙子如何能夠訪問該漏洞。 祕密 通過加密手段從MacBook設備中提取密鑰和其他加密數據。
漏洞存在於蘋果的M1和M2芯片的微架構中,使得無法使用直接補丁來解決問題。根據 報告,發佈於3月21日 漏洞是一種側鏈攻擊,使黑客能夠在蘋果芯片運行常見的加密協議時獲取MAC的端到端加密密鑰。
理解不可修補的本質
如上所示,由於蘋果芯片的漏洞根植於微體系結構硅本身,因此無法修補。基本上,系統使用這些芯片中的數據內存相關預取器(DMP)來預測和預加載數據,以及最小化CPU和內存延遲。
然而,由於設計問題,DMP經常錯誤地將內存內容解釋為指針地址,從而導致數據通過側鏈洩漏。因此,攻擊者可以利用這些預取器錯誤,通過設計輸入,使DMP將其識別為地址,從而導致加密密鑰的洩漏。這個過程是一個重要的 GoFetch攻擊的方面.
解釋這個過程, 研究人員說“我們的關鍵觀點是,儘管DMP只解引用指針,但攻擊者可以構造程序輸入,以便當這些輸入與加密密鑰混合時,生成的中間狀態可以被設計成只有在密鑰滿足攻擊者選擇的謂詞時才會看起來像一個指針。”
漏洞無法修復的原因是它存在於蘋果的芯片中,而不是其軟件。因此,研究人員建議最好的解決方案是製造新的加密軟件蘋果芯片。或者,需要第三方加密軟件來控制蘋果M系列芯片的性能,以防止M1和M2芯片的安全漏洞。
GoFetch漏洞解析
GoFetch漏洞是指蘋果M系列芯片的漏洞,使黑客能夠利用內存訪問模式獲取加密密鑰等敏感數據,這些數據是加密應用程序使用的。在這種情況下,黑客只需要標準用戶權限,類似於常規應用程序所需的權限。
閱讀更多: 蘋果進軍元宇宙
澄清一下,通過利用數據內存相關的預取器(DMP)中存在的弱點,黑客利用GoFetch漏洞。基本上,該系統使DMP數據洩漏出核心的緩存。重要的是要理解,當由計算機協議或算法的設計導致關鍵信息洩漏時,此類側信道漏洞M系列會發生。
另外,加密密鑰提取蘋果應用程序可以在與目標密碼應用程序運行在相同性能集群上的情況下挖掘祕鑰,即使它們在不同的核心上。
再次,GoFetch漏洞蘋果應用程序可以在一小時內提取2048位RSA密鑰,以及在兩小時內提取2048位Diffie-Hellman密鑰。另一方面,提取組裝Kyber-512密鑰所需的數據大約需要54分鐘,生成Dilithium-2密鑰大約需要10小時。
緩解和性能權衡
首先,這個蘋果芯片的漏洞並不像上面的解釋所暗示的那樣具有威脅性。攻擊通常需要很長時間,因為它很難執行。因此,GoFetch漏洞對加密貨幣用戶並沒有太大威脅。
其次,攻擊者要利用無法修補的加密安全漏洞,首先應在計算機或iPhone上安裝惡意應用程序。此外,Apple默認設計為阻止未分配的惡意應用程序可能嘗試訪問計算機系統。
閱讀也: 蘋果的元宇宙雄心
數字威脅macOS成功機會非常渺茫的另一個原因是,黑客攻擊需要10多個小時才能完成。值得注意的是,在這段漫長的時間裡,計算機應該連續運行。這意味著在大約 5 小時後重新啟動計算機的個人可能會挫敗此類攻擊。
由於在不嚴重影響系統功能的情況下禁用 M1 和 M2 CPU 上的 DMP 是不可能的,因此開發人員可能需要更新軟件,以便它可以自動禁用 DMP 或阻止激活依賴於密鑰的 DMP。
個人還可以選擇在“Icestorm”核心上運行所有的加密代碼,因為它們沒有DMPs。然而,這可能會嚴重影響計算機的性能。同時,可能會有蘋果的未來更新使其生效,而不需提前通知。
然而,蘋果似乎對學者們發現的威脅輕描淡寫。它相信,在其任何設備上成功進行加密攻擊的機會很小,因為它們系統中已經內置了充足的安全措施。
在 在其社區論壇上,Apple表示“我們要感謝研究人員的合作,因為這個概念驗證推動了我們對這些技術的理解。”
閱讀更多: 在每臺蘋果電腦上的比特幣白皮書
然後它補充道:“根據我們的分析以及研究人員與我們分享的細節,我們得出結論,這個問題對我們的用戶沒有立即風險,並且僅僅足以繞過操作系統的安全保護。”
數字安全的更廣泛含義
上述研究結果強調了數字資產用戶在使用易洩露關鍵數據(如加密密鑰和密碼)的 Mac 電腦和 iPad 平板電腦時需要極其警惕,這些關鍵數據也保護著數字錢包。原因是一旦黑客訪問這些信息,他/她就可以竊取您的數字資產。即使通過此過程進行黑客攻擊的風險較低,使用這些設備管理數字資產的加密貨幣用戶也不應忽視警告。
iOS和MacOS中最近的安全漏洞增加了安全漏洞的機會
GoFetch漏洞並不是蘋果MacOS電腦和iPad平板電腦面臨的唯一數字威脅。最近 卡巴斯基報告稱,最近蘋果發佈了幾個更新 由於其iOS和macOS設備存在漏洞,可能允許不良行為者竊取敏感數據和數字資產。由於此類漏洞,蘋果公司敦促用戶更新其設備至iOS 16.4.1和macOS 13.3.1。
實際上,這些設備存在兩個威脅,即CVE-2023-28205和CVE-2023-28206,這可能會允許黑客進行零點擊攻擊。通過這種方式,受害者可能會被引導到釣魚網站,惡意行為者將使用不同的加密貨幣騙局誘騙他們,以竊取他們的數字資產。
此外,它還可以自動在設備內安裝惡意軟件。一旦安裝了惡意軟件,攻擊者將運行某些代碼並控制這些設備。
閱讀更多: Metamask提醒蘋果用戶關於iCloud釣魚攻擊
如何保護您的加密貨幣安全?
如果您將數字資產保存在蘋果的Mac或iPad平板電腦上,最好的辦法是將其轉移到另一臺設備上。您可以將其存儲在硬件錢包或適合的數字設備上,如Windows PC、Android手機或iPhone。
相關新聞: 在加密貨幣領域保護您的數字資產
另一個重要的事情是避免安裝來自未知開發者和不受信任來源的應用程序。如果您的設備上已經安裝了這類應用程序,請立即刪除以防止任何加密貨幣攻擊。
最近的提示: 保護你的加密資產的10個步驟
最後,擁有上述設備的蘋果用戶應始終注意收到的任何惡意軟件警報。上述的蘋果加密缺陷修復措施以及這些安全措施可能會拯救您免於丟失數字資產。
結論
來自多所美國頂尖大學研究人員的最新學者報告警告稱,早期版本的蘋果MacOS和iPad平板電腦在其M系列芯片中存在漏洞,可能允許黑客訪問加密密鑰和密碼。然而,只有M1、M2和M3芯片存在此類安全漏洞。加密貨幣用戶最好的做法是將他們的數字資產從這些設備中移除。
