Un crew di ricercatori della sicurezza del Georgia Institute of Know-how e della Ruhr College Bochum ha dimostrato due nuovi attacchi a canale laterale rivolto al silicio di Apple che potrebbero essere sfruttati per perdere informazioni sensibili da browser Internet come Safari e Google Chrome.
Gli attacchi sono stati nome in codice Attacchi di speculazione dei dati tramite previsione dell’indirizzo di carico su Apple Silicon (SCHIAFFO) e rompere la CPU Apple M3 tramite previsioni di output di falsi carichi (Flop). Apple è stata informata dei problemi a maggio e settembre 2024, rispettivamente.
Le vulnerabilità, come le precedentemente divulgate iLeakage Attacco, basate Spettroderivante da quando l’esecuzione speculativa “si ritorcono contro”, lasciando tracce di errori nello stato microarchitettturale della CPU e nella cache.
L’esecuzione speculativa si riferisce a un meccanismo di ottimizzazione delle prestazioni nei processori moderni che hanno lo scopo di prevedere il flusso di controllo che la CPU dovrebbe prendere ed eseguire istruzioni lungo il ramo in anticipo.
In caso di malpredizione, i risultati delle istruzioni transitorie vengono scartati e ripristinano tutte le modifiche apportate allo stato seguendo la previsione.
Questi attacchi sfruttano il fatto che l’esecuzione speculativa lascia tracce per costringere una CPU a fare una malpredizione ed eseguire una serie di istruzioni transitorie, il cui valore potrebbe quindi essere dedotto attraverso un canale late alla malpredizione.
“In slap e flop, dimostriamo che le recenti CPU di Apple vanno oltre questo, non solo prevedendo il flusso di controllo che la CPU dovrebbe assumere, ma anche il flusso di dati su cui la CPU dovrebbe operare se i dati non sono prontamente disponibili dal sottosistema di memoria” hanno detto i ricercatori.
“A differenza di Spectre, gli errati preventivi sul flusso di dati non si traducono direttamente nell’esecuzione in modo speculativo delle istruzioni errate. Invece, si traducono nell’esecuzione della CPU istruzioni arbitrarie sui dati sbagliati. Tuttavia, mostriamo questo può essere combinato con tecniche indirette per eseguire erroneamente istruzioni. “
SLAP, che colpisce M2, A15 e chip più recenti, si rivolge a quello che viene chiamato un indirizzo di carico (lap) che i chip Apple usano per indovinare l’indirizzo di memoria successivo alla CPU recupererà i dati in base ai precedenti modelli di accesso alla memoria.
Tuttavia, se il giro prevede un indirizzo di memoria errata, può far sì che il processore si eseguisca calcoli arbitrari sui dati esternalizzati in esecuzione speculativa, aprendo così la porta a uno situation di attacco in cui un avversario può recuperare il contenuto e-mail da un registrato Nel comportamento utente e di navigazione dal browser Safari.
D’altra parte, FLOP influisce sui chip M3, M4 e A17 e prende di mira un’altra caratteristica chiamata Load Worth Predictor (LVP) progettata per migliorare le prestazioni della dipendenza dai dati “indovinando il valore dei dati che verrà restituito dal sottosistema di memoria Il prossimo accesso dal core della CPU. “
FLOP provoca “controlli critici nella logica del programma per la sicurezza della memoria da bypassare, aprendo le superfici di attacco per la perdita di segreti immagazzinati in memoria”, hanno osservato i ricercatori, aggiungendo che potrebbero essere armati sia contro i browser Safari che Chrome per realizzare vari primitivi arbitrari della memoria, come il recupero della cronologia della posizione, degli eventi del calendario e delle informazioni sulla carta di credito.
La divulgazione arriva quasi due mesi dopo che i ricercatori dell’Università della Corea hanno dettagliato Sysbumps, che hanno descritto come il primo attacco di randomizzazione dello spazio per il format spaziale del kernel (KASLR) attaccante ai macOS per Apple Silicon.
“Usando i gadget di tipo spettre nelle chiamate di sistema, un attaccante non privilegiato può causare traduzioni degli indirizzi del kernel scelto dell’attaccante, causando il cambiamento del TLB in base alla validità dell’indirizzo”, Hyerean Jang, Taehun Kim e Youngjoo Shin Shin disse. “Ciò consente la costruzione di un primitivo di attacco che si rompe Kaslr Bypassing Kernel Isolation. “
Separatamente, una nuova ricerca accademica ha anche scoperto un approccio per “combinare più canali laterali per superare i limiti quando si attaccano il kernel”, scoprendo che si rivolge a traguardo dello spazio “, la stessa caratteristica che rende efficiente la mitigazione dei channel laterali, apre un nuovo superficie di attacco. “
Ciò embrace un attacco pratico soprannominato tagbleed, che abusi di buffer di traduzione taggati (TLBS), che rende efficienti gli spazi di separazione del kernel e degli utenti, e informazioni di traduzione residue per rompere Kaslr anche di fronte a mitigazioni all’avanguardia ” Architetture moderne.
“Questa perdita è sufficiente per derrare completamente Kaslr se usato in combinazione con un attacco di canale laterale secondario che usa il kernel come un deputato confuso Per perdere ulteriori informazioni sul suo spazio di indirizzi “, il ricercatore di Vusec Jakob Koschel disse.
