Teknoloji 22 Mart 2024

Mac’lerde kritik güvenlik açığı bulundu!

Apple Silicon çiplerindeki yeni bir güvenlik açığı, kararlı bir saldırganın şifrelenmiş anahtarları çalarak kullanıcının verilerine erişmesine olanak tanıyor. Araştırmacılar, Apple’ın M serisi çiplerinde, dosyaların şifrelenmesi gibi şifreleme işlemleriyle ilgili bir sorun keşfetti. Ancak çipin mimari tasarımıyla ilgili bir sorun olduğu için giderilmesi çok zor görünüyor.

Apple Silicon güvenlik açığı şifreleme anahtarlarını sızdırıyor

Perşembe günü bir grup araştırmacı tarafından detaylandırılan ve ArsTechnica tarafından rapor edilen sorun, büyük olasılıkla şu anda çalışan kod tarafından erişilecek olan verilerin bellek adreslerini tahmin eden veri belleğine bağımlı önceden getiricide (DMP) barınıyor. Verileri önceden getirerek, kötü amaçlı kodların araştırılması için bir hedef haline geliyor.

Bunun nedeni, cache bellekten getirilecek bir sonraki veri bitine ilişkin tahminlerini belirlemek için önceki erişim modellerini kullanması. Bir saldırganın, cache verileri etkilemek için bu çalışma yöntemini kullanması ve hassas verilere erişimin kapısını açması mümkün.

Mac’lerde kritik güvenlik açığı bulundu!
Mac’lerde kritik güvenlik açığı bulundu! 11

GoFetch Saldırısı: Şifrelenmiş Anahtarların Çalınması

Araştırmacıların “GoFetch” olarak adlandırdığı saldırı, Apple Silicon’daki DMP kullanımındaki tuhaflıktan yararlanıyor. Saldırıyı açıklarken araştırmacılar, DMP’nin bunu bir adres konumu olarak ele alacağı ve ardından bu verileri önbelleğe çekeceği bir işaretçi “gibi” görünmesinin mümkün olduğunu doğruluyor. Adresin önbellekteki görünümü görünür durumda, bu da kötü amaçlı kodun onu aktif edebileceği anlamına geliyor.

Saldırı, seçilen bir giriş saldırısını kullanarak şifreleme algoritması içindeki verileri bir işaretçi gibi görünecek şekilde değiştirir. Veri değerini bir adres gibi gören DMP, adresin kendisi sızdırılarak verileri bu adresten getiriyor. GoFetch saldırısı, root erişimi yerine diğer birçok üçüncü taraf macOS uygulamasıyla aynı kullanıcı ayrıcalıklarını kullanıyor. Bu, saldırıyı gerçekten yürütmek için giriş engelini azaltıyor, ancak hikayenin tamamı bu değil.


Mac’lerde kritik güvenlik açığı bulundu!

iPhone’un fazla satması Apple’ın başını yaktı!

Apple, iPhone ile akıllı telefon pazarında tekel mi oldu? ABD tarafından açılan bir dava, şirketin yetkilerini kısıtlamak istiyor.

Saldırıyı çalıştıran GoFetch uygulamasının da çalışabilmesi için şifrelenmiş hedef uygulamayla aynı yonga kümesinde kullanılması ve her ikisinin de verimlilik çekirdeklerini veya performans çekirdeklerini aynı anda kullanması gerekiyor. Kümeye bağımlıdır, yani uygulamalar aynı küme içindeki farklı çekirdeklerde çalıştırılsa bile çalışmaya devam ediyor.

Araştırmacılar, saldırının klasik şifreleme algoritmalarının yanı sıra kuantumla güçlendirilmiş yeni versiyonlara karşı da işe yaradığını iddia ediyor.

Etkileri ve Engellenmesi

Saldırının asıl sorunu, tasarımın merkezi bir parçası olduğundan Apple Silicon’un kendisine yama yapılamaması. Bunun yerine, kriptografik yazılım geliştiricilerinin soruna geçici bir çözüm bulmak için azaltıcı önlemler alması gerekiyor.

Güvenlik açığının aktifleşme sürecinin yalnızca verimlilik çekirdeklerinde çalıştırılması da mümkün, çünkü bunlarda DMP işlevi yok. Daha hızlı çekirdeklerde çalışmadığı için şifreleme performansı yine güçsüz oluyor. Üçüncü bir seçenek aslında M3 çipleri için geçerli; özel bir bit, DMP’yi devre dışı bırakmak için enjekte edilebilir. Araştırmacılar, ortaya çıkacak performans kaybının düzeyinin henüz keşfedilmediğini de açıkladı.

Apple’ın başına gelen ilk ciddi açık değil

2018 yılında tüm Mac ve iOS aygıtlarının yanı sıra 1997’den bu yana neredeyse tüm X86 aygıtlarını etkileyen Meltdown ve Spectre işlemci açıkları da keşfedilmişti.

source

Spread the love <3

You may also like...

Mar
21
2024
0
WhatsApp’ın yeni özellikleri ortaya çıktı!

WhatsApp’ın yeni özellikleri ortaya çıktı!

WhatsApp, Google Play Beta Programı aracılığıyla yeni bir Android güncellemesi sunuyor ve bu güncellemeyle sürüm numarası 2.24.7.6’ya yükseliyor. Bu güncelleme,...

Spread the love <3
Nis
02
2024
0
Microsoft, Office’ten bir uygulamayı çıkarıyor!

Microsoft, Office’ten bir uygulamayı çıkarıyor!

Bugün yeni bir Reuters raporuna göre Microsoft, Teams’i küresel düzeyde Office’ten ayırmaya karar verdi. Bu hamle, şirketin AB pazarları için...

Spread the love <3
Nis
17
2024
0
Google, kullanıcıların niyetine göre reklam gösterecek!

Google, kullanıcıların niyetine göre reklam gösterecek!

Google AdSense, “ad intents” adında niyetinizi anlayan yenilikçi bir reklam formatı başlattı. Bu format, kullanıcının siteye girmesindeki niyetle ve ilgilendiği...

Spread the love <3

İngilizce Sınavından Kaç Alacağını Söylüyoruz! – Onedio

Evett, sınav dönemi geldi çattı! Peki İngilizce sınavlarına girildi mi? Bu testin sonunda bir sonraki İngilizce testinden kaç puan alacağını söylüyoruz!...

Spread the love <3
Whatsapp İletişim
Merhaba,
Size nasıl yardımcı olabilirim ?