Վերջին ակադեմիական առաջընթացի ժամանակ հետազոտողները բացահայտել են Apple-ի M-series չիպերի խիստ խոցելիությունը, որն առաջին հերթին ազդում է կրիպտո ակտիվների անվտանգության վրա:
Այս թերությունը, որը մանրամասն ներկայացված է հեղինակավոր հաստատությունների գիտնականների հրապարակման մեջ, հարձակվողներին հնարավորություն է տալիս մուտք գործել գաղտնի բանալիներ գաղտնագրման գործողությունների ժամանակ:
Ինչպես են MacBook-երը խոցելի կրիպտո հաքերների նկատմամբ
Խնդիրը խորապես արմատացած է Apple-ի M1 և M2 չիպերի միկրոճարտարապետության մեջ: Հետևաբար, ուղղակի կարկատելն անհնար է։ Փոխարենը, մեղմացումը պահանջում է երրորդ կողմի գաղտնագրային ծրագրաշարի ճշգրտումներ, ինչը կարող է վտանգել կատարողականը:
Այս խոցելիության հիմքում ընկած է տվյալ չիպերի տվյալների հիշողությունից կախված նախածանցիչը (DMP): Այս ֆունկցիան նպատակ ունի կանխատեսել և նախապես բեռնել տվյալները՝ այդպիսով նվազագույնի հասցնելով պրոցեսորի և հիշողության հետաձգումը:
Այնուամենայնիվ, DMP-ի եզակի վարքագիծը կարող է սխալմամբ մեկնաբանել հիշողության բովանդակությունը որպես ցուցիչի հասցեներ՝ հանգեցնելով տվյալների չնախատեսված արտահոսքի կողմնակի ալիքներով:
Փորձագետները, ինչպիսիք են Բորու Չենը Իլինոյսի Ուրբանա-Շամպայնի համալսարանից և Յինգչեն Վանգը Օսթինի Տեխասի համալսարանից, բացատրում են, որ հարձակվողները կարող են շահագործել այս նախահայրի պահվածքը: Նրանք դրան հասնում են՝ ստեղծելով մուտքեր, որոնք DMP-ը սխալմամբ ճանաչում է որպես հասցեներ՝ այդպիսով անուղղակիորեն արտահոսելով գաղտնագրման բանալիները: Այս գործընթացը կենտրոնական է նոր հայտնաբերված GoFetch հարձակման համար:
Կարդացեք ավելին. Կրիպտո նախագծի անվտանգություն. Վտանգների վաղ հայտնաբերման ուղեցույց
«Մեր հիմնական պատկերացումն այն է, որ թեև DMP-ն անջատում է միայն ցուցիչները, հարձակվողը կարող է ստեղծել ծրագրային մուտքեր այնպես, որ երբ այդ մուտքերը խառնվում են գաղտնագրային գաղտնիքներին, ստացված միջանկյալ վիճակը կարող է ձևավորվել այնպես, որ նման լինի ցուցիչի, եթե և միայն այն դեպքում, եթե գաղտնիքը բավարարում է հարձակվողին: -ընտրված պրեդիկատը»,- բացատրել են հետազոտողները:
Հատկանշական է, որ GoFetch-ը գործարկելու համար չի պահանջում արմատային մուտք: Այն գործում է macOS համակարգերում օգտագործողի ստանդարտ արտոնություններով:
Հարձակումն արդյունավետ է եղել ինչպես սովորական, այնպես էլ քվանտակայուն գաղտնագրման մեթոդների դեմ՝ բանալիներ հանելով այն ժամկետներում, որոնք տարբերվում են ըստ գաղտնագրման արձանագրության:
Հանդիպելով այս սպառնալիքին՝ մշակողները պետք է նավարկեն բարդության մեջ: Նրանք պետք է իրականացնեն ամուր պաշտպանություն, որը, չնայած արդյունավետ, կարող է զգալիորեն դանդաղեցնել պրոցեսորի աշխատանքը գաղտնագրման առաջադրանքների ժամանակ:
Նման մեղմացման մարտավարությունից մեկը՝ գաղտնագրային տեքստի կուրացումը, թեև հզոր, կարող է պահանջել շատ ավելի շատ հաշվողական հզորություն՝ հատկապես ազդելով հատուկ բանալիների փոխանակման վրա:
GoFetch-ի խոցելիության այս բացահայտումը թվային սպառնալիքների աճի ավելի լայն համատեքստի մի մասն է, հատկապես կրիպտո տերերի համար: Վերջին բացահայտումները մատնանշում են iOS-ի և macOS-ի անվտանգության զգալի բացերը, որոնք օգտագործվում են կրիպտո-խաբեությունների համար:
Կարդացեք ավելին. 9 Crypto Wallet անվտանգության խորհուրդներ՝ ձեր ակտիվները պաշտպանելու համար
Հաստատությունները, ինչպիսիք են Ստանդարտների և տեխնոլոգիաների ազգային ինստիտուտը և կիբերանվտանգության փորձագետները, ընդգծել են լայնորեն օգտագործվող հավելվածների և օպերացիոն համակարգերի խոցելիությունը՝ ջատագովելով օգտատերերի զգույշ լինելը և համակարգի արագ թարմացումները:
Հրաժարում պատասխանատվությունից
Հավատարիմ մնալով Trust Project ուղեցույցներին՝ BeInCrypto-ն հավատարիմ է անաչառ, թափանցիկ հաշվետվություններին: Այս լրատվական հոդվածը նպատակ ունի տրամադրել ճշգրիտ, ժամանակին տեղեկատվություն: Այնուամենայնիվ, ընթերցողներին խորհուրդ է տրվում ինքնուրույն ստուգել փաստերը և խորհրդակցել մասնագետի հետ՝ նախքան այս բովանդակության հիման վրա որևէ որոշում կայացնելը: Խնդրում ենք նկատի ունենալ, որ մեր Պայմաններն ու դրույթները, Գաղտնիության քաղաքականությունը և Հրաժարումը թարմացվել են:
Աղբյուր՝ https://beincrypto.com/apple-macbook-crypto-theft-target/