Una nueva vulnerabilidad en Silicio de manzana Los chips pueden permitir que un atacante determinado acceda a los datos de un usuario robando las claves criptográficas, y una solución podría afectar considerablemente el rendimiento del cifrado.
Los investigadores han descubierto un problema con los chips de la serie M de Apple en la forma en que abordan las operaciones criptográficas, como el cifrado de archivos. Sin embargo, dado que se trata de un problema con el diseño arquitectónico del chip, es algo muy difícil de mitigar.
Detallado el jueves por un grupo de investigadores y reportado por ArsTechnica, el problema radica en el captador previo dependiente de la memoria de datos (DMP), que predice las direcciones de memoria de los datos a los que probablemente accederá el código que se está ejecutando actualmente. Al capturar previamente los datos, se convierte en un objetivo para la exploración de códigos maliciosos.
Esto se debe a que los captadores previos utilizan patrones de acceso previos para determinar sus predicciones del siguiente bit de datos a recuperar. Es posible que un atacante utilice esta forma de trabajar para influir en los datos que se obtienen previamente, abriendo la puerta al acceso a datos confidenciales.
El ataque GoFetch puede robar claves de cifrado
El ataque, al que los investigadores se refieren con el nombre «GoFetch», aprovecha una peculiaridad en el uso de DMP en Apple Silicon. Específicamente, cómo un DMP podría confundir el contenido de la memoria con los valores de puntero utilizados para cargar más datos, y el primero se utiliza ocasionalmente como el segundo.
Al explicar el ataque, los investigadores confirman que es posible hacer que los datos «parezcan» un puntero, que el DMP tratará como una ubicación de dirección y, a su vez, extraerá esos datos al caché. La apariencia de la dirección en el caché es visible, lo que significa que el código malicioso puede verla.
El ataque manipula los datos dentro del algoritmo de cifrado para que parezcan un puntero, utilizando un ataque de entrada elegido. El DMP, al ver que el valor de los datos aparece como una dirección, luego trae los datos de esa dirección, y la dirección misma se filtra.
El ataque no es un descifrado instantáneo de una clave de cifrado. Sin embargo, el ataque se puede llevar a cabo repetidamente, lo que permite que la clave se revele con el tiempo.
El ataque GoFetch utiliza los mismos privilegios de usuario que muchos otros terceros Mac OS aplicaciones, en lugar de acceso root. Esto reduce la barrera de entrada para ejecutar el ataque, pero no es toda la historia.
La aplicación GoFetch que ejecuta el ataque también debe usarse en el mismo grupo de chips que la aplicación objetivo criptográfica para poder funcionar, y ambas deben usar los núcleos de eficiencia o los núcleos de rendimiento al mismo tiempo. Depende del clúster, lo que significa que seguirá funcionando si las aplicaciones se ejecutan en diferentes núcleos dentro del mismo clúster.
Los investigadores afirman que el ataque funciona contra algoritmos de cifrado clásicos, así como contra versiones más nuevas reforzadas cuánticamente.
En cuanto a su eficacia, la aplicación de prueba de los investigadores pudo extraer una clave RSA de 2048 bits en menos de una hora y poco más de dos horas para una clave Diffie-Hellman de 2048 bits. Se necesitan diez horas de extracción de datos para asegurar una clave de Dilithium-2, excluyendo el tiempo de procesamiento fuera de línea.
Difícil de frustrar
El principal problema con el ataque es que no se puede parchear en el propio Apple Silicon, ya que es una parte central del diseño. En cambio, requiere mitigaciones por parte de los desarrolladores de software criptográfico para solucionar el problema.
El problema es que cualquier cambio de mitigación aumentará la carga de trabajo necesaria para realizar las operaciones, lo que a su vez afectará el rendimiento. Sin embargo, estos impactos solo deberían afectar a las aplicaciones que utilizan cifrado y emplean mitigaciones, en lugar de otros tipos de aplicaciones generales.
En el caso de una mitigación, el cegamiento del texto cifrado, la efectividad varía entre los algoritmos y puede requerir el doble de recursos de lo habitual.
También es posible ejecutar los procesos solo en núcleos de eficiencia, ya que no tienen funcionalidad DMP. Nuevamente, el rendimiento del cifrado se verá afectado ya que no se ejecuta en los núcleos más rápidos.
Una tercera opción en realidad se aplica a M3 chips, en el sentido de que se puede invertir un bit especial para desactivar DMP. Los investigadores admiten que no conocen el nivel de penalización en el rendimiento que se produciría.
Apple se negó a comentar el informe sobre el asunto. Los investigadores afirmaron que realizaron una divulgación responsable a Apple antes del lanzamiento público, informando a la compañía el 5 de diciembre de 2023.
Algunos de los investigadores trabajaron previamente en otro descubrimiento de 2022, también relacionado con el uso de DMP de Apple Silicon. En su momento, el llamado defecto de augurio se consideró que no era «tan malo» y «probablemente era sólo un modelo de amenaza de zona de pruebas».
La historia se repite
Las vulnerabilidades de los chips pueden ser un gran problema para los fabricantes de dispositivos, especialmente si tienen que realizar cambios en los sistemas operativos y el software para mantener la seguridad.
En 2018, Derretimiento y espectro Se descubrieron fallas en el chip, que afectaron a todos Mac y iOS dispositivos, así como casi todos los dispositivos X86 producidos desde 1997.
Esos ataques de seguridad se basaban en un «ejecutivo especulativo», cuando un chip mejoraba su velocidad trabajando en múltiples instrucciones simultáneamente, o incluso fuera de orden. Como sugiere el nombre, la CPU continuará especulativamente las ejecuciones por una ruta antes de que se complete una rama.
Tanto Meltdown como Spectre utilizaron la funcionalidad para acceder a la «memoria privilegiada», que podría incluir el núcleo de la CPU.
El descubrimiento de los fallos provocó una avalancha de otros ataques similares, principalmente contra chips Intel, incluidos Presagiar y carga zombie.
Este tampoco es el primer problema encontrado con el diseño de los chips Apple Silicon. En 2022, los investigadores del MIT descubrieron una vulnerabilidad irreparable denominada «PACMAN,» que aprovechó los procesos de autenticación de puntero para crear un ataque de canal lateral.