Forscher:innen haben eine kritische Sicherheitslücke in den M-Serien-Chips von Apple entdeckt, die es Angreifern ermöglicht, geheime Verschlüsselungsschlüssel aus Mac-Computern zu extrahieren. Diese Schwachstelle, resultierend aus dem Design der Mikroarchitektur, lässt sich nicht direkt beheben und könnte erhebliche Leistungseinbußen zur Folge haben.
Die Lücke liegt in der sogenannten Datenabhängigen Prefetching-Funktion der Chips, die zukünftig benötigte Daten voraussagt und so die Latenzzeit zwischen Hauptspeicher und CPU reduziert. Dieser Mechanismus, bisher nur in Apple-M-Serien und Intels Raptor-Lake-Mikroarchitektur bekannt, kann jedoch von Angreifern ausgenutzt werden, um geheime Schlüsselmaterialien aus kryptographischen Operationen zu entwenden.
Ein Forscherteam entdeckte, dass die Prefetching-Funktion manchmal Datenwerte als Speicheradressen missinterpretiert, wodurch geheime Daten ungewollt preisgegeben werden. Diese Entdeckung, bekannt als GoFetch-Angriff, ermöglicht es, durch speziell präparierte Anfragen, indirekt geheime Schlüssel zu extrahieren, ohne direkten Zugriff darauf zu haben.
GoFetch nutzt eine Applikation, die keine Administratorrechte benötigt, und kann Geheimnisse aus sowohl traditionellen als auch gegen Quantencomputer gehärteten Verschlüsselungsverfahren extrahieren. Die Effizienz des Angriffs variiert je nach Art des Schlüssels und benötigt für manche Extraktionen weniger als eine Stunde.
Um der Schwachstelle entgegenzuwirken, müssen Entwickler:innen von Kryptographiesoftware zusätzliche Schutzmaßnahmen implementieren, die allerdings die Leistungsfähigkeit der Chips beeinträchtigen können. Einige der vorgeschlagenen Lösungen umfassen das Hinzufügen von „Blindwerten“ zu sensiblen Daten oder die Ausführung kryptographischer Prozesse auf effizienteren Kernen, die über keine Prefetching-Funktion verfügen.
Die Forscher:innen regen an, die Hardware-Software-Schnittstelle so anzupassen, dass sie der neuen Bedrohung Rechnung trägt, etwa durch die Möglichkeit, die Prefetching-Funktion selektiv zu deaktivieren. Apple hat sich bislang nicht öffentlich zu den Forschungsergebnissen geäußert. Nutzer:innen sollten auf Updates achten, die Schutzmaßnahmen gegen den GoFetch-Angriff enthalten könnten.
Die gefundenen Sicherheitslücken erinnern an die Probleme mit Spectre und Meltdown auf Intel basierten CPUs.
Quelle: Ars Technica
Titelbild: KI (Dall-e)
Nach monatelanger Verzögerung bringt Meta seinen KI-Chatbot nun auch in Europa auf den Markt. Die Einführung betrifft WhatsApp, Facebook, Instagram…
Das neue MacBook Air mit M4 in der Farbe Himmelblau gibt es derzeit mit einem Rabatt von 100 Euro bei…
Apple investiert weiterhin hohe Summen in seinen Streaming-Dienst Apple TV+, doch laut einem Bericht von The Information verliert das Unternehmen…
Tesla hat einen Rückruf für über 46.000 Cybertrucks in den USA angekündigt. Grund ist ein Problem mit der äußeren Edelstahlverkleidung,…
Apple sieht sich in den USA mit einer Sammelklage konfrontiert, in der dem Unternehmen irreführende Werbung im Zusammenhang mit den…
Lange hat es gedauert, aber nun sind wir wieder da. Apfeltalk hat eine neue App im Apple App Store. Das…
Diese Website benutzt Cookies um Ihr Nutzererlebnis zu verbessern. Wenn Sie diese Website weiter nutzen, gehen wir von Ihrem Einverständnis aus.
Mehr lesen