Een team van beveiligingsonderzoekers van het Georgia Institute of Technology en Ruhr University Bochum heeft twee nieuwe zijkanaalaanvallen aangetoond die gericht zijn op Apple Silicon die kunnen worden geëxploiteerd om gevoelige informatie te lekken van webbrowsers zoals Safari en Google Chrome.
De aanvallen hebben codenaam gegevensspeculatie -aanvallen via laadadresvoorspelling op Apple Silicon (SLAP) en het breken van de Apple M3 CPU via valse load output voorspellingen (FLOP). Apple werd op de hoogte gebracht van de problemen in respectievelijk mei en september 2024.
De kwetsbaarheden, zoals de eerder bekendgemaakte Ileakage -aanval, bouwen voort op Spectre, ontstaan wanneer speculatieve uitvoering “backfires”, sporen van verkeerde producties achterlaten in de microarchitecturale toestand van de CPU en de cache.
Speculatieve uitvoering verwijst naar een prestatie -optimalisatiemechanisme bij moderne processors die gericht zijn op het voorspellen van de besturingsstroom die de CPU moet nemen en instructies langs de tak moet uitvoeren.
In het geval van een verkeerde productie, worden de resultaten van de tijdelijke instructies weggegooid en alle wijzigingen in de toestand die na de voorspelling zijn aangebracht, teruggekeerd.
Deze aanvallen maken gebruik van het feit dat speculatieve uitvoering sporen achterlaat om een CPU te dwingen een verkeerde uitvoering te doen en een reeks voorbijgaande instructies uit te voeren, waarvan de waarde vervolgens door een zijkanaal kan worden afgeleid, zelfs nadat de CPU alle wijzigingen in de toestand teruggaat in de verschuldigde staat aan de verkeerde productie.
“In SLAP en FLOP tonen we aan dat de recente Apple CPU’s verder gaan, niet alleen het voorspellen van de besturingsstroom die de CPU zou moeten nemen, maar ook de gegevensstroom waarop de CPU zou moeten werken als gegevens niet direct beschikbaar zijn vanuit het geheugensubsysteem,” de zeiden onderzoekers.
“In tegenstelling tot Spectre resulteren verkeerde uitvoeringen op de gegevensstroom niet direct in de CPU die speculatief de verkeerde instructies uitvoert. In plaats daarvan resulteren ze in de CPU die willekeurige instructies uitvoert over de verkeerde gegevens. We laten echter zien dat dit kan worden gecombineerd met indirectietechnieken om verkeerd uit te voeren instructies. “
SLAP, die van invloed is op M2, A15 en nieuwere chips, richt zich op wat een laadadres voorspelt (LAP) die Apple -chips gebruiken om het volgende geheugenadres te raden dat de CPU gegevens zal ophalen op basis van eerdere geheugentoegangspatronen.
Als de ronde echter een verkeerd geheugenadres voorspelt, kan dit ervoor zorgen dat de processor willekeurige berekeningen uitvoeren op out-of-bound-gegevens onder speculatieve uitvoering, waardoor de deur wordt geopend voor een aanvalsscenario waar een tegenstander e-mailinhoud kan herstellen van een gelogde- in gebruikers- en browsegedrag van de safari -browser.
Aan de andere kant heeft FLOP invloed op M3-, M4- en A17 -chips en richt zich op een andere functie genaamd Load Value Pedictor (LVP) die is ontworpen om de prestaties van de gegevensafhankelijkheid te verbeteren door “de gegevenswaarde te raden die door het geheugensubsysteem wordt geretourneerd op De volgende toegang door de CPU -kern. “
Flop veroorzaakt “kritische controles in programmalogica voor geheugenveiligheid om te worden omzeild, waarbij aanvalsoppervlakken worden geopend voor lekkende geheimen die in het geheugen zijn opgeslagen,” merkten de onderzoekers op, en voegden eraan toe dat het kan worden bewapend tegen zowel safari als chromen browsers om verschillende willekeurige geheugen te laten lezen, lees primitieven, zoals het herstellen van locatiegeschiedenis, agendaevenementen en creditcardinformatie.
De openbaarmaking komt bijna twee maanden nadat onderzoekers van de Korea University gedetailleerde sysbumps, die zij beschreven als de eerste kerneladresruimte -lay -out randomisatie (KASLR) break -aanval op macOS voor Apple Silicon.
“Door het gebruik van spectre-type gadgets in systeemoproepen, kan een onbevoegde aanvaller vertalingen veroorzaken van de gekozen kerneladressen van de aanvaller, waardoor de TLB verandert volgens de geldigheid van het adres,” zeiden Hyerean Jang, Taehun Kim en Youngjoo Shin. “Dit maakt de constructie mogelijk van een aanvalsprimitief die Kaslr doorbreekt om kernelisolatie te omzeilen.”
Afzonderlijk heeft nieuw academisch onderzoek ook een benadering ontdekt om “meerdere zijkanalen te combineren om beperkingen te overwinnen bij het aanvallen van de kernel”, het vinden van die adresruimte-tagging, “dezelfde functie die mitigatie van zijkanalen efficiënt maakt, opent een nieuwe aanval oppervlak.”
Dit omvat een praktische aanval nagesynchroniseerd tagbleed, die getagde getagde translatie-lookaside buffers (TLB’s) misbruikt, waardoor het scheiden van kernel- en gebruikersadresruimtes efficiënt wordt en resterende vertaalinformatie om Kaslr te breken, zelfs in het licht van de geavanceerde mitigaties “op Moderne architecturen.
“Deze lekkage is voldoende om Kaslr volledig te derandomiseren wanneer gebruikt in combinatie met een secundaire zijkanaalaanval die de kernel gebruikt als een verwarde plaatsvervanger om aanvullende informatie over de adresruimte te lekken,” zei Vusec-onderzoeker Jakob Koschel.
