Forscher:innen haben eine kritische Sicherheitslücke in den M-Serien-Chips von Apple entdeckt, die es Angreifern ermöglicht, geheime Verschlüsselungsschlüssel aus Mac-Computern zu extrahieren. Diese Schwachstelle, resultierend aus dem Design der Mikroarchitektur, lässt sich nicht direkt beheben und könnte erhebliche Leistungseinbußen zur Folge haben.
Die Lücke liegt in der sogenannten Datenabhängigen Prefetching-Funktion der Chips, die zukünftig benötigte Daten voraussagt und so die Latenzzeit zwischen Hauptspeicher und CPU reduziert. Dieser Mechanismus, bisher nur in Apple-M-Serien und Intels Raptor-Lake-Mikroarchitektur bekannt, kann jedoch von Angreifern ausgenutzt werden, um geheime Schlüsselmaterialien aus kryptographischen Operationen zu entwenden.
Ein Forscherteam entdeckte, dass die Prefetching-Funktion manchmal Datenwerte als Speicheradressen missinterpretiert, wodurch geheime Daten ungewollt preisgegeben werden. Diese Entdeckung, bekannt als GoFetch-Angriff, ermöglicht es, durch speziell präparierte Anfragen, indirekt geheime Schlüssel zu extrahieren, ohne direkten Zugriff darauf zu haben.
GoFetch nutzt eine Applikation, die keine Administratorrechte benötigt, und kann Geheimnisse aus sowohl traditionellen als auch gegen Quantencomputer gehärteten Verschlüsselungsverfahren extrahieren. Die Effizienz des Angriffs variiert je nach Art des Schlüssels und benötigt für manche Extraktionen weniger als eine Stunde.
Um der Schwachstelle entgegenzuwirken, müssen Entwickler:innen von Kryptographiesoftware zusätzliche Schutzmaßnahmen implementieren, die allerdings die Leistungsfähigkeit der Chips beeinträchtigen können. Einige der vorgeschlagenen Lösungen umfassen das Hinzufügen von „Blindwerten“ zu sensiblen Daten oder die Ausführung kryptographischer Prozesse auf effizienteren Kernen, die über keine Prefetching-Funktion verfügen.
Die Forscher:innen regen an, die Hardware-Software-Schnittstelle so anzupassen, dass sie der neuen Bedrohung Rechnung trägt, etwa durch die Möglichkeit, die Prefetching-Funktion selektiv zu deaktivieren. Apple hat sich bislang nicht öffentlich zu den Forschungsergebnissen geäußert. Nutzer:innen sollten auf Updates achten, die Schutzmaßnahmen gegen den GoFetch-Angriff enthalten könnten.
Die gefundenen Sicherheitslücken erinnern an die Probleme mit Spectre und Meltdown auf Intel basierten CPUs.
Quelle: Ars Technica
Titelbild: KI (Dall-e)
Die zentrale Sicherheitsdatenbank Common Vulnerabilities and Exposures (CVE) war für kurze Zeit von der Schließung bedroht, da das US-Heimatschutzministerium (DHS) die Finanzierung…
Mit dem Ende des Open-Source-Softwareprojekts Whisky verliert die Mac-Community eine spannende Lösung, um Windows-Spiele auf Apple Silicon-Geräten ohne Portierungslösungen auszuführen. (mehr …)
Am 22. April 2025, dem internationalen Earth Day, lädt Apple erneut zu einer speziellen Apple Watch Herausforderung ein. (mehr …)
Ein mutmaßlich überarbeitetes Stromkabel für ein zukünftiges Apple-Headset mit dem Namen „Vision Air“ ist jetzt erstmals auf neuen Bildern zu…
Apple hat die Liste seiner Vintage-Produkte aktualisiert. Neu hinzugekommen sind der Mac mini 2018 und das iPhone 6s. (mehr …)
Die Apple-Marke Beats hat einen neuen Werbespot veröffentlicht, der die kürzlich eingeführten USB-C-Kabel in den Mittelpunkt stellt. Der Spot ist…
Diese Website benutzt Cookies um Ihr Nutzererlebnis zu verbessern. Wenn Sie diese Website weiter nutzen, gehen wir von Ihrem Einverständnis aus.
Mehr lesen