apple-bilgisayarlarindaki-m-ciplerinde-guvenlik-acigi-bulundu-guncellemeyle-cozulemiyor-g9wbNaA1.jpg

Apple Bilgisayarlarındaki M Çiplerinde Güvenlik Açığı Bulundu: Güncellemeyle Çözülemiyor

Apple, uzun mühlet devam eden Intel seyahatini M1 modeliyle birlikte sona erdirmiş, Mac ve Macbook modellerini bu sayede her zamankinden daha süratli hâle getirmişti. Üstelik daha az kaynak kullanımıyla bunu gerçekleştirmişti. Şimdiki olarak da M3 çipleriyle birlikte ağızları açık bırakmaya devam eden şirket, şanssız bir bahisle gündemde.

Akademik araştırmacıların yaptığı çalışmaya nazaran M çiplerinde -ki bu hem M1 hem M2 hem de M3 modellerini kapsıyor- siber saldırganların, encryption key dediğimiz doğrulama anahtarlarına erişmesini mümkün kılan bir güvenlik açığı var. Yani 2020’den bu yana çıkan tüm Mac aygıtları buna dahil.

Peki ne manaya geliyor bu durum?

Emirlerin işlenme mühletini, münasebetiyle da bellek suratını kestirime dayalı yollarla optimize eden prefetcher bileşenleri, sorunun ana kaynağı. Araştırmacılar da zati kelam konusu açığı ve taarruz biçimini “GoFetch” diye isimlendirmiş. Bu akında prefetcher’lar aracılığıyla sabit vakitli şifreleme uygulamalarından anahtarlar çıkarılıyor. Taarruz, bilgi bazlı prefetcher’lar sayesinde geliştiği için de yan kanal saldırısı formunda niteleniyor. Bilgi bazlı olanların farkı ise, kestirim yapmak için düz prefetcher’ların hesaba kattığı adreslere ek olarak veri değerlerini de görmeleri.

Kafa karışıklığını temizlemek ismine, bu data bazlı olanların hassas bilgilere erişimi mümkün kıldığını söyleyelim. Bu hassas bilgilerin başında da şifreleme anahtarları geliyor. Gönül isterdi ki “Apple yapsın bi’ güncelleme, çözülsün gitsin.” Ama araştırmacılar, sorunun M çipinin mikro mimari yapısında yattığını, bu sebeple de güncellenemez olduğunu söylüyor. Bu da yetmezmiş üzere güvenliği sağlayacak sistemlerin de M çiplerini performans açısından yıpratacağı söyleniyor.

Araştırmacılar, geçtiğimiz aralık ayının başlarında mevzuyu Apple’a taşımışlar lakin ortadan geçen 107 günün akabinde bahis, halka duyurulmuş. Bu yüzden de güvenliğin sağlanması konusunda, bilhassa de kriptografik uygulama geliştiricilerinin daha sıkı güvenlik tedbirleri almaları gerektiği belirtiliyor. 

Tags: No tags

Comments are closed.