У чипах Apple Silicon знайшли вразливість, яку не можна усунути

Група вчених з американських університетів опублікувала звіт про атаку під назвою GoFetch, яка експлуатує вразливість у чипсетах серій Apple M1, M2 та M3. Пролом дозволяє витягувати секретні ключі.

Процесори серій Apple M поділяються на кластери. Наприклад, M1 має чотири блоки Icestorm з низьким енергоспоживанням і стільки ж високопродуктивних блоків Firestorm. Останні відрізняються наявністю механізму DMP (data memory-dependent prefetcher) — він завантажує вміст пам'яті в кеш, перш ніж він знадобиться, щоб прискорити обробку завдань.

Відомо, що подібні технології оптимізації схильні до атак по сторонніх каналах (side-channel attack). Вони дозволяють отримати інформацію про секретні ключі, які обробляються процесором цієї миті, на основі непрямих ознак — наприклад, стрибків енергоспоживання. Один зі способів вирішення вразливості — constant-time захист. Її ідея полягає в тому, що якщо всі операції займають однакову кількість часу, то у зловмисника буде менше можливостей проаналізувати процеси.

У статті дослідників говориться, що DMP у процесорах Apple іноді може плутати вміст пам'яті, розглядаючи дані як адресу для доступу до пам'яті, що суперечить моделі constant-time захисту.

Вразливість торкається всіх криптографічних алгоритмів, навіть квантово-стійких. Програмі, яка експлуатує GoFetch, не потрібні якісь спеціальні привілеї в операційній системі. У результаті GoFetch потрібно менше години, щоб витягти 2048-бітний ключ за криптоалгоритмом RSA.

Усунути проблему не можна, оскільки вона пов'язана з мікроархітектурою процесорів Apple. Але розробники можуть зробити програмні засоби захисту: наприклад, запускати операції шифрування та дешифрування на ядрах Icestorm, які не мають DMP. Ці блоки програють Firestorm за продуктивністю, тому криптографічні завдання виконуватимуться повільніше.

У випадку з чіпом Apple M3 розробники можуть відключити DMP, проте неясно, як сильно це позначиться на швидкості виконання завдань.