Nova vulnerabilidade sem correção possível nos chips da série M da Apple permite extração de chaves de criptografia
(macrumors.com)• Um novo artigo acadêmico mostra uma vulnerabilidade grave nos chips da série M da Apple, chamada "GoFetch", que pode permitir que invasores extraiam chaves secretas de criptografia de Macs sob certas condições.
• A vulnerabilidade está no prefetcher de dependência de memória de dados (DMP), um recurso dos processadores da Apple projetado para melhorar a velocidade de processamento ao prever e buscar dados antecipadamente.
• O artigo destaca que o DMP representa uma ameaça significativa à segurança do modelo de programação de tempo constante, projetado para proteger contra ataques de canal lateral ao garantir que as operações levem o mesmo tempo independentemente dos dados processados.
• A equipe de pesquisa demonstrou que o DMP do Apple Silicon pode vazar informações mesmo quando os programas são projetados para não revelar padrões de acesso à memória, permitindo que invasores explorem essa vulnerabilidade para extrair chaves de criptografia de softwares de segurança.
• O ataque afeta algoritmos de criptografia populares, incluindo métodos tradicionais como troca de chaves Diffie-Hellman do OpenSSL e descriptografia RSA em Go, além de métodos de criptografia pós-quântica como CRYSTALS-Kyber e CRYSTALS-Dilithium.
1 comentários
No caso de hardware especializado em criptografia, além de vulnerabilidades criptográficas (matemáticas), ele também era vulnerável a ataques indiretos — como inferir o tamanho da chave analisando a quantidade de energia consumida em um determinado intervalo ou o tempo gasto na criptografia/descriptografia (o chamado ataque de canal lateral, side-channel attack, mencionado no texto). Quando isso acontece, passa a ser possível encontrar a chave com um esforço muito menor do que o tempo computacional que se esperava na prática. Esse tipo de ataque já é conhecido há muito tempo e, por isso, a maioria dos módulos relacionados a criptografia (hw/sw) já incorpora proteções contra isso, mas aparentemente os chips M1 e M2 foram projetados ignorando esse ponto e, portanto, são vulneráveis.
Na prática, ainda levaria muito tempo até que uma chave criptográfica fosse realmente extraída, mas o argumento central do texto parece ser que permitir reduzir o tempo de cálculo esperado nessa medida pode ser visto como uma falha de projeto.