Áttörhető az Apple-rendszerek utolsó védelmi vonala az Apple M1 csipjeinek egy hardveres sebezhetősége miatt, állítják a MIT (Massachusetts Institute of Technology) kutatói. A problémát az Arm-alapú csipekben alkalmazott hardveres biztonsági mechanizmusban, az ún. pointer authentication codes (PAC) nevű mutatóhitelesítési kódban találták. A PAC feladata elvileg az lenne, hogy megnehezítse a támadóknak, hogy kártékony kódot juttassanak a célba vett eszköz memóriájába (pl. védelmet nyújt a puffertúlcsordulással végrehajtott támadások ellen).

A kutatóknak sikerült olyan támadási módot találni, amiben a memóriakorrupciót (amikor a memória egy része véletlenül vagy szándékos beavatkozás miatt módosul) és a spekulatív végrehajtást kombinálták. Így sikerült kijátszaniuk a csip biztonsági funkcióit. A módszerrel azt demonstrálták, hogy a pointer-autentikáció nyom nélkül kijátszható. Mivel a csip erre hardveres mechanizmust használ, a helyzetet nem lehet kezelni szoftveres úton.

Kitalálják a kriptográfiai aláírást

A támadásnál (a kutatók viccesen PACMAN névre keresztelték) a pointer-autentikációs kód "kitalálásával" indul. A PAC lényegében egy kriptográfiai aláírás, aminek az a feladata, hogy egy alkalmazásról megmondja: azt nem módosították rosszindulatú kóddal. Ehhez a spekulatív végrehajtás technikát használják. Ennek során a processzor feldolgozási sebességének gyorsítása végett a rendszer olyan feladatot is végrehajt, amelyre adott pillanatban nincs szükség: próbálja megjósolni a következő lépéseket, és ha azokra szükség van, akkor már ott állnak készen, azaz nem kell várni a végrehajtásukra. Ha a jóslás (becslés) rossz volt, akkor a rendszer visszaállítja a változtatásokat, és az eredményeket figyelmen kívül hagyja. Ez azonban lehetőséget ad arra, hogy közben ki lehessen szivárogtatni a PAC ellenőrzési mechanizmus eredményeit. Azt pedig már viszonylag könnyű megállapítani, hogy az ellenőrzés által adott értékek helyesek vagy sem.

A kutatók azt is bizonyították, hogy a támadás még az operációs rendszer kernele ellen is használható. Szerintük a PACMAN minden olyan ARM-rendszerre potenciális veszélyt jelent, amelyben engedélyezték a pointer-autentikációt. Pedig épp az lenne a feladata, hogy akkor is megakadályozza a támadót a rendszer fölötti irányítás átvételében, amikor már minden védelmi vonal elesett, nyilatkozta a kutatócsoport egyik tagja a TechCrunch-nak.

A probléma szerintük az Apple minden eddigi Arm-alapú processzorát, az M1-et, az M1 Prót és az M1 Maxot is érintheti, mivel mindegyikben alkalmazzák a mechanizmust. Eddigi ígéretes védelmi eljárásnak tűnt, így több csipgyártó, köztük a Qualcomm és a Samsung is bejelentette, hogy alkalmazza új processzoraiban.

Hatásáról eltérnek a vélemények

A MIT csapata szerint a következő években sok mobil és asztali eszköz kerülhet veszélybe a PACMAN miatt, ha nem sikerül megtalálni az ellenszerét. Az Apple, amely a publikálás előtt megkapta az eredményeket, más véleményen van. A vállalat szóvivője a tanulmány megjelenése után a TechCrunh-nak nem cáfolta a probléma létezését, de válaszában azt írta, hogy szerintük az közvetlenül nem veszélyezteti felhasználóik biztonságát, mert önmagában nem elegendő az operációs rendszer biztonsági védelmének megkerülésére.