Vulnerabilidade impossível de corrigir em chip da Apple vaza chaves de criptografia

Uma vulnerabilidade recém-descoberta embutida nos chips da série M da Apple permite que invasores extraiam chaves secretas de Macs quando eles realizam operações criptográficas amplamente utilizadas, como revelado por pesquisadores acadêmicos em um artigo publicado na quinta-feira.

A falha - um canal lateral que permite a extração de chaves de ponta a ponta quando os chips da Apple executam implementações de protocolos criptográficos amplamente utilizados - não pode ser corrigida diretamente porque decorre do design microarquitetônico do próprio silício. Em vez disso, só pode ser mitigada pela implementação de defesas em software criptográfico de terceiros que podem degradar drasticamente o desempenho da série M ao executar operações criptográficas, especialmente nas gerações M1 e M2 mais antigas. A vulnerabilidade pode ser explorada quando a operação criptográfica alvo e o aplicativo malicioso com privilégios normais do sistema de usuário são executados no mesmo cluster de CPU.

Cuidado com as otimizações de hardware A ameaça reside no prefetcher dependente de memória de dados dos chips, uma otimização de hardware que prevê os endereços de memória dos dados que o código em execução provavelmente acessará no futuro próximo. Ao carregar o conteúdo na memória cache da CPU antes que ele seja realmente necessário, o DMP, como a funcionalidade é abreviada, reduz a latência entre a memória principal e a CPU, um gargalo comum na computação moderna. Os DMPs são um fenômeno relativamente novo encontrado apenas nos chips da série M e na microarquitetura Raptor Lake de 13ª geração da Intel, embora formas mais antigas de prefetchers sejam comuns há anos.

Especialistas em segurança sabem há muito tempo que prefetchers clássicos abrem um canal lateral que processos maliciosos podem sondar para obter material de chave secreta de operações criptográficas. Essa vulnerabilidade é resultado dos prefetchers fazendo previsões com base em padrões de acesso anteriores, o que pode criar alterações de estado que os invasores podem explorar para vazar informações. Em resposta, engenheiros criptográficos desenvolveram a programação em tempo constante, uma abordagem que garante que todas as operações levem o mesmo tempo para serem concluídas, independentemente de seus operandos. Isso é feito mantendo o código livre de acessos à memória ou estruturas dependentes de segredos.

A novidade da nova pesquisa é que ela expõe um comportamento anteriormente negligenciado dos DMPs na silício da Apple: às vezes, eles confundem o conteúdo da memória, como material de chave, com o valor do ponteiro que é usado para carregar outros dados. Como resultado, o DMP frequentemente lê os dados e tenta tratá-los como um endereço para acessar a memória. Essa "desreferenciação" de "ponteiros" - ou seja, a leitura de dados e seu vazamento por meio de um canal lateral - é uma violação flagrante do paradigma de tempo constante.