时间:2024-03-23|浏览:198
研究发现,苹果M系列芯片中的漏洞是“无法修复”的。
学术研究人员发现了苹果M系列计算芯片中的一个重要漏洞,这可能会危及私有加密密钥的安全。
同一天,美国司法部(DOJ)对这家iPhone制造商提起了反垄断诉讼,指控其垄断行为不利于消费者、外汇和竞争对手。
漏洞
研究团队发现了该芯片的数据内存依赖预取器(DMP)的漏洞。
加密分析师George解释说,DMP是一种硬件优化,可以提前预测数据将其预加载到CPU缓存中。然而,它面临一个问题,即偶尔将敏感数据(如加密密钥)误认为是内存地址。
这种现象,被称为“取消引用卸载”,它产生了一个被称为“侧信道攻击”的漏洞。
研究人员展示了使用 GoFetch 攻击在 1 到 10 小时内提取各种加密密钥(包括 RSA、Diffie-Hellman、Kyber 和 Dilithium)的能力。 然而,这种利用同样需要恶意和解密的加密应用程序CPU集群上运行。
为了使攻击成功,恶意应用程序必须向加密应用程序提供输入,并促使其执行操作,从而逐渐泄露密钥。这种利用是脆弱的,并且必须绕过macOS的安全措施才能在系统上执行。
不幸的是,修复这个缺陷并不简单,因为它本身芯片的微架构设计,无法修复。但是,在第三方加密软件中实施防御措施可以降低风险。
法律麻烦
在美国16个州检察长的支持下,美国即将对苹果提起法律诉讼,针对其“封闭花园”商业模式提起了法律诉讼,该模式涉嫌帮助在智能手机市场设立了非法垄断。
诉讼指控苹果在其应用商店指南和开发者协议中实施了“改变规则和限制”,这导致苹果能够提高费用,阻碍创新,提供不太安全或降低级别的用户体验,并限制竞争替代品。
他们补充说,这些压制性规则是在各种产品中实施的,包括短信、智能手表和数字钱包等。
加密社区成员强调了防护措施对行业的重要性,Tribe Protocol 的创始人 Hish Bouabdallah 表示:
“如果苹果停止了新冠肺炎疫情,它可能为美国的加密支付铺平道路,使用户能够使用像 Coinbase 钱包这样的服务,只需一个和 FaceID 就可以实现无缝交易。”