研究發現,蘋果M系列芯片中的漏洞是“無法修補”的。
學術研究人員發現了蘋果M系列計算芯片中的一個重要漏洞,這可能會危及私有加密密鑰的安全。
同一天,美國司法部(DOJ)對這家iPhone制造商提起了反壟斷訴訟,指控其壟斷行爲不利於消費者、开發商和競爭對手。
漏洞
研究團隊發現了該芯片的數據內存依賴預取器(DMP)的漏洞。
加密分析師George解釋說,DMP是一種硬件優化,可以提前預測數據並將其預加載到 CPU 緩存中。然而,它面臨一個問題,即偶爾會將敏感數據(如加密密鑰)誤認爲是內存地址。
這種現象,被稱爲“取消引用指針”,它產生了一個被稱爲“側信道攻擊”的漏洞。
研究人員展示了使用GoFetch攻擊在1到10小時內提取各種加密密鑰(包括RSA、Diffie-Hellman、Kyber和Dilithium)的能力。然而,這種利用需要惡意和針對性的加密應用程序在同一CPU集群上運行。
爲了使攻擊成功,惡意應用程序必須向加密應用程序提供輸入,並促使其執行操作,從而逐漸泄露密鑰。這種利用是交互式的而不是被動的,並且必須繞過macOS的安全措施才能在系統上執行。
不幸的是,糾正這個缺陷並不簡單,因爲它源自芯片的微架構設計,使其無法修補。然而,在第三方加密軟件中實施防御措施可以降低風險。
法律麻煩
在美國16個州的檢察長的支持下,美國當局對蘋果提起了法律訴訟,針對其“封閉花園”商業模式提起了法律訴訟,該模式涉嫌幫助在智能手機市場建立了非法壟斷。
訴訟指控蘋果在其應用商店指南和开發者協議中,實施了“改變規則和限制”,這將使蘋果能夠收取更高的費用,阻礙創新,提供不太安全或降級的用戶體驗,並限制競爭替代品。
他們補充說,這些壓制性規則是在各種產品中實施的,包括短信、智能手表和數字錢包等。
加密社區成員強調了這場訴訟對行業的重要性,Tribe Protocol的創始人Hish Bouabdallah表示:
“如果蘋果輸掉這場战鬥,它可能爲美國的加密支付鋪平道路,使用戶能夠使用像Coinbase Wallet這樣的服務,只需雙擊和FaceID就能實現無縫交易。”
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。