Перейти к содержанию

GoFetch: Взлом шифрования на процессорах Apple | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot

KL FC Bot

Опубликовано
Опубликовано

В середине марта исследователи из нескольких университетов в США опубликовали научную работу, в которой продемонстрировали аппаратную уязвимость в процессорах Apple серии M. Apple M — собственная разработка компании на базе архитектуры ARM, используемая в большинстве ноутбуков и настольных ПК, а также в некоторых планшетах iPad. Проблема может быть эксплуатирована для взлома алгоритмов шифрования. Атаку, построенную на базе этой уязвимости, назвали GoFetch.

Сочетание интересной темы с именем известного производителя привело к тому, что совершенно техническая работа была процитирована большим количеством специализированных и не очень изданий, зачастую с алармистскими заголовками типа «не доверяйте ноутбукам Apple свои приватные данные». На самом деле все не так плохо, но чтобы по-настоящему разобраться в сути новой проблемы, нам придется слегка углубиться в теорию работы процессоров, в частности поговорить про три концепции: предварительную выборку данных из оперативной памяти, программирование с постоянным временем и атаку по сторонним каналам. Как обычно, мы постараемся объяснить все максимально простыми словами.

Предварительная выборка данных

Центральный процессор компьютера или ноутбука выполняет программу, которая представлена в виде машинных кодов. Грубо говоря, это набор чисел, часть из которых представляет собой команды, а все остальное — данные для вычислений. На этом самом базовом уровне речь идет о самых простых командах: загрузить из памяти такие-то данные, произвести над ними какие-то вычисления, записать результат обратно в память.

Программу по идее нужно выполнять последовательно. Приведем самый простой пример: пользователь ввел пароль для доступа к криптокошельку. Нужно считать этот пароль из оперативной памяти, произвести над ним определенные вычисления, убедиться, что пароль правильный, и только тогда открыть доступ к секретным данным. Но если бы современные процессоры так выполняли весь код, наши компьютеры работали бы крайне медленно. Как удается ускорить выполнение программ? С помощью большого числа оптимизаций, в числе которых и предварительная загрузка данных.

Концепция предварительной загрузки данных заключается в следующем: если в коде программы будет обнаружена команда на загрузку определенных данных, почему бы во имя ускорения не загрузить их еще до того, как они понадобятся? Если данные в ходе дальнейших вычислений пригодятся — мы выполним программу чуть быстрее. Не пригодятся — не беда, сотрем их из кэш-памяти процессора и загрузим что-то еще.

Так работают самые базовые технологии предварительной выборки данных. В процессорах Apple используется довольно новый метод, известный как «контекстно зависимая предварительная выборка данных» или «data memory-dependent prefetcher» (DMP). Если коротко, DMP работает более агрессивно. Не всегда команды на загрузку данных из памяти доступны явным образом. Указатели на определенную область памяти могут быть результатом вычислений, которые еще нужно произвести. Либо они могут храниться в массиве информации, с которым программа будет работать позднее. DMP пытается угадать, что из данных программы является указателем на область памяти. Логика такая же: если что-то похоже на указатель, пытаемся загрузить информацию по соответствующему адресу. Процесс угадывания использует историю недавних операций, причем они могут относиться к совсем другой программе.

В 2022 году предыдущее исследование показало, что технология DMP достаточно часто путает указатели и какие-то другие данные, с которыми работает программа. Само по себе это проблемой не является: ну загрузили в кэш-память процессора что-то не то, ну бывает. Проблемы появляются, когда речь идет о работе алгоритмов шифрования. DMP может при некоторых условиях сломать концепцию программирования с постоянным временем. Давайте теперь поговорим про нее.

 

Посмотреть статью полностью

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Что такое атака «Браузер в браузере» и как распознать поддельное окно входа | Блог Касперского
      Автор KL FC Bot
      В 2022 году в нашем блоге мы подробно описали метод атаки под названием «Браузер в браузере» (browser-in-the-browser), разработанный исследователем кибербезопасности под ником mr.d0x. Тогда примеров реализации этой модели «в дикой природе» не было. Однако четыре года спустя атаки «браузер в браузере» перестали быть теорией — злоумышленники уже активно используют их на практике. В этом посте еще раз разберем, что собой представляет атака browser-in-the-browser, покажем, как злоумышленники ее применяют, и, главное, объясним, как не стать жертвой.
      Что такое атака «Браузер в браузере» (browser-in-the-browser, BitB)
      Для начала давайте вспомним, что же придумал mr.d0x. Сама идея атаки основывалась на его наблюдении продвинутости современных средств построения веб-страниц — HTML, CSS, JavaScript и других. Собственно, это наблюдение натолкнуло исследователя на идею создания замысловатой модели фишинга.
      Атака «Браузер в браузере» — это разновидность фишинга, которая предполагает правдоподобную подделку окна входа с использованием известных сервисов — Microsoft, Google, Facebook* или Apple — на мошеннических сайтах посредством веб-дизайна. По задумке исследователя злоумышленник создает правдоподобно выглядящий сайт, на который заманивает своих жертв. При этом действия — оставлять комментарии, совершать покупки и так далее — на ресурсе могут совершать только авторизованные пользователи.
      Авторизоваться на сайте совершенно не сложно — достаточно нажать на кнопку «Войти с помощью {название популярного сервиса}». Вот тут и начинается самое интересное: после нажатия кнопки перед пользователем вместо настоящей страницы аутентификации в легитимном сервисе появляется нарисованная внутри мошеннического сайта форма, которая выглядит как… всплывающее окно браузера. При этом в адресной строке этого всплывающего окна — также нарисованной злоумышленниками — отображается совершенно легитимный адрес, и даже внимательное его изучение не позволит распознать подвох.
      Дальше доверчивый пользователь вводит в нарисованное окно свои учетные данные от того сервиса, с помощью которого он хотел аутентифицироваться, — Microsoft, Google, Facebook* или Apple, — и они, в свою очередь, отправляются прямиком к преступнику. Некоторое время подобная схема оставалась только теоретическим экспериментом исследователя кибербезопасности. Однако теперь ее на вооружение взяли настоящие преступники.
       
      View the full article
    • KL FC Bot
      Уязвимость CVE-2026-3102 при обработке изображений в ExifTool на macOS | Блог Касперского
      Автор KL FC Bot
      Можно ли заразить компьютер вредоносным ПО, просто обрабатывая фотографии? Особенно если это «Мак», который многие до сих пор считают устойчивым к зловредам? Как выясняется, можно — если пользоваться уязвимой версией приложения ExifTool или многочисленных приложений на его основе. Это популярнейшее решение с открытым исходным кодом (open source) для чтения, редактирования и записи метаданных в изображениях используется фотографами и специалистами фотоархивов, применяется в аналитике, криминалистических экспертизах и журналистских расследованиях.
      Наши эксперты GReAT обнаружили в нем уязвимость CVE-2026-3102, которая проявляется при обработке вредоносного файла изображения (например, PNG), содержащего в метаданных команды оболочки. При обработке такого файла с помощью ExifTool на macOS команда срабатывает, и на компьютере выполняются действия, задуманные злоумышленником, — например, загрузка и запуск вредоносного ПО с внешнего сервера. Мы расскажем, как это возможно, порекомендуем способы защиты и объясним, как проверить свой компьютер на уязвимость.
      Что такое ExifTool
      Бесплатное приложение с открытым исходным кодом ExifTool решает узкую, но важную задачу. Оно извлекает из файлов метаданные и позволяет обрабатывать эти данные и сами файлы. Метаданные — это сопроводительная информация, зашитая в большинстве современных форматов файлов. Например, у музыкального трека метаданными будут имя исполнителя и название песни, жанр, год выпуска, фото обложки альбома. Для фотографий метаданные — это дата, время и географические координаты съемки, использованные настройки светочувствительности и затвора, модель и производитель камеры. У офисных документов в метаданных хранятся имя автора, продолжительность редактирования, название и дата создания документа.
       
      View the full article
    • KL FC Bot
      Локальная версия KTAE и плагин для IDA Pro | Блог Касперского
      Автор KL FC Bot
      В прошлом материале мы показывали на практическом примере, как атрибуция угрозы помогает в расследовании инцидентов, а также рассказывали о нашем движке Kaspersky Threat Attribution Engine (KTAE), позволяющем создать взвешенное предположение о принадлежности образца зловреда конкретной группировке. Для демонстрации мы использовали наш облачный инструмент Kaspersky Threat Intelligence Portal, который в составе комплексного сервиса «Анализ угроз», наряду с «песочницей» и дополнительным инструментом поиска похожих файлов (без вынесения вердикта об атрибуции), предоставляет доступ и к KTAE. Преимущество облачного сервиса очевидно — для его использования не нужно выделять оборудование, устанавливать и администрировать какой-либо софт. Но, как показывает практика, облачный вариант инструмента атрибуции подходит не всем.
      Во-первых, есть организации, которые в силу регуляторных ограничений не допускают выход какой-либо информации за пределы периметра организации. ИБ-аналитики таких организаций не могут позволить себе загружать какие-либо файлы в сторонний сервис. Во-вторых, в некоторых компаниях работают настоящие исследователи киберугроз, которым необходим более гибкий инструмент, позволяющий работать не только с предоставляемой «Лабораторией Касперского» информацией об угрозах, но и с собственными данными. Поэтому наш KTAE доступен в двух вариантах — облачном и в виде поставки для локального развертывания.
       
      View the full article
    • KL FC Bot
      Как отключить ненужных AI-ассистентов и ИИ-функции на компьютере и смартфоне | Блог Касперского
      Автор KL FC Bot
      Если вы не идете к ИИ-сервисам, то они идут к вам. Каждая крупная компания считает своим долгом не просто разработать ИИ-ассистента, интегрированный чат-бот или автономный агент, но еще и включить их в свой существующий массовый продукт и насильно активировать у десятков миллионов пользователей. Несколько примеров только за последние полгода:
      Microsoft принудительно превращает совместимые Windows-компьютеры в «ИИ-ПК» и автоматически устанавливает и активирует Copilot тем, у кого установлены десктопные офисные приложения Microsoft 365; Google активировал Gemini всем американским пользователям Chrome, нарастил его функциональность в браузере по максимуму, сильно расширил географию и охват ИИ-обзоров в результатах поиска и включил целый набор ИИ-функций в свои онлайн-сервисы (Gmail, Google Docs и другие); Apple внедрила собственный Apple Intelligence (который также получил аббревиатуру AI) в последние версии операционных систем для всех видов устройств и в большинство собственных приложений; Meta* добавила ИИ-переводы и чат с Meta AI в WhatsApp, одновременно запретив использование в мессенджере сторонних чат-ботов с 15 января 2026 года. С другой стороны, гики сами бросились обустраивать «личных Джарвисов», арендуя VPS или скупая Mac mini и устанавливая ИИ-агент OpenClaw. Увы, проблемы с безопасностью OpenClaw при настройках по умолчанию оказались настолько велики, что его уже успели окрестить крупнейшей ИБ-угрозой 2026 года.
      Кроме неприятного ощущения, что вам что-то активно навязывают против вашей воли, эта «эпидемия ИИ» приносит практические риски и неудобства. ИИ-ассистенты собирают все возможные данные с ваших устройств — распознают смысл просматриваемых веб-сайтов, анализируют сохраненные документы и ваши переписки и так далее. Это позволяет ИИ-компаниям получить беспрецедентно глубокое понимание того, чем живет каждый пользователь.
      Утечка этих данных при кибератаке — либо с серверов ИИ-фирм, либо из временного хранилища (кэша) на компьютере пользователя — грозит разрушительными последствиями. ИИ-ассистенты могут видеть и кэшировать все, что доступно и вам, включая данные, обычно хранящиеся за многими слоями защиты: банковскую информацию, медицинские диагнозы, личные переписки и другую конфиденциальную информацию. Как это может происходить, мы подробно описали, разбирая проблемы ИИ-системы Copilot+ Recall, которую Microsoft также планировала установить и активировать всем подряд. Кроме того, ИИ может ощутимо нагружать систему: память, видеокарту, хранилище данных, что порой приводит к заметному снижению производительности.
      Для тех, кто хочет переждать AI-шторм, отказавшись от сырых и скороспелых версий нейросетевых помощников, мы собрали краткие инструкции по отключению ИИ в популярных приложениях и сервисах.
       
      View the full article
    • KL FC Bot
      Вариации на тему ClickFix | Блог Касперского
      Автор KL FC Bot
      Примерно год назад мы публиковали пост про набирающую у злоумышленников популярность технику ClickFix. Суть атак с применением ClickFix сводится к тому, что жертву под разными предлогами убеждают выполнить вредоносную команду на собственном компьютере. То есть с точки зрения защитных решений запускается она от лица активного пользователя и с его привилегиями.
      В первых применениях этой тактики злоумышленники в основном убеждали жертв скопировать строку в меню «Выполнить» и нажать «Ввод», чтобы что-то починить или чтобы пройти капчу, а сама строка в подавляющем большинстве случаев была скриптом PowerShell. Однако с тех пор злоумышленники придумали ряд новых уловок, о которых стоит предупредить пользователей, и ряд новых вариантов доставки вредоносной нагрузки, которые имеет смысл отслеживать.
      Использование mshta.exe
      Эксперты Microsoft в прошлом году публиковали отчет о кибератаках, ориентированных на владельцев гостиниц, работающих с Booking.com. Атакующие рассылали фальшивые нотификации от сервиса или письма от постояльцев, обращающих внимание на «странный отзыв». В обоих случаях в письме содержится ссылка якобы на сайт Booking.com, при переходе по которой жертве предлагали доказать, что она не робот, запустив некий код через меню «Выполнить».
      Принципиальное отличие этой атаки от базового применения ClickFix заключается в двух нюансах. Во-первых, пользователя не просили скопировать строку (все-таки строка с кодом иногда вызывает подозрение). Она сама копировалась в буфер, вероятно, при нажатии на чекбокс, имитирующий механизм проверки reCAPTCHA. Во-вторых, вредоносная команда запускала легитимную системную утилиту mshta.exe, позволяющую выполнять приложения, написанные на языке HTML. Она успешно обращалась к серверу злоумышленников, адрес которого содержался в той же строке, и запускала установку основной вредоносной нагрузки.
       
      View the full article
×
×
  • Создать...