MIT 驚曝 M1 不可修復的漏洞

 行業動態     |      2022-06-19 08:55:23
一直以來,提及蘋果的產品,無論是操作系統,還是芯片等硬件,其安全性上都會讓人放心一些。當然,這也只是相對而言。
 
日前,來自麻省理工學院計算機科學與人工智能實驗室 (簡稱 MIT CSAIL)發布了一份最新的研究報告,研究人員稱已經找到了一種方法來擊敗蘋果 M1 SoC 上所謂的“最后一道安全線”。
 
漏洞無法修復
 
事實上,蘋果 M1 自 2020 年發布以來,一直廣受業界好評,其不僅幫助 Mac 達到了新的性能高度,更是開啟了蘋果掌控自己軟硬件生態的新篇章。
 
然而,隨著 M1 芯片中內置了一個新漏洞的消息發酵,立即引起了不少安全專家的關注。
 
據 IEEE Spectrum 報道,此漏洞存在于 M1 芯片硬件層安全機制 PAC(pointer authentication codes) 中,且達到無法修復的級別。
 
MIT CSAIL 計劃在 6 月 18 日舉行的國際計算機體系結構研討會上提交一種攻擊模式,其是由本科畢業于浙江大學、現任麻省理工學院電氣工程和計算機科學系的助理教授、計算機科學與人工智能實驗室的成員 MENGJIA YAN 領導的研究人員推出。
 
 
這種新的攻擊模式叫做 PACMAN,可以繞過 Apple M1 CPU 上的指針身份驗證(PAC),最終導致計算機操作系統的核心變得脆弱。指針身份驗證是一項安全功能,它將加密簽名添加到指針中,可幫助保護 CPU 免受已獲得內存訪問權限的攻擊者的攻擊。
 
IEEE Spectrum 表示,由于 PAC 可能會陸續整合到由 64 位 Arm 架構構建的未來處理器中,因此,這種漏洞可能會變得更加普遍。
 
具體實現原理
 
具體來看,MIT CSAIL 的研究人員發現,通過 PACMAN 可以允許攻擊者使用 Apple M1 CPU 物理訪問 Mac,以訪問底層文件系統。
 
 
來源:https://pacmanattack.com/
 
當然,想要通過 PACMAN 這種新型方式來實現攻擊,也是有前提條件的。
 
首先,攻擊者需要找到一個影響 Mac 上軟件的內存 Bug,該 Bug 可以讀取和寫入不同的內存地址。然后,該 Bug 利用 M1 硬件架構上的細節,能夠使得漏洞執行代碼,甚至接管操作系統的能力。
 
研究人員在驗證過程中表示,“我們先假設這個漏洞就在那里,但我們把它變成了一個更嚴重的漏洞。”
 
PACMAN 是在將軟件攻擊的硬件緩解措施與微架構側信道混合在一起時產生的。主要手段就是使用 PACMAN 方式,其能夠利用預測執行泄露 PAC 驗證結果,且不會引發系統的任何崩潰。
 
 
至于是如何做到這一點的,研究人員稱,這涉及到了現代計算的核心。“幾十年來,計算機一直在使用所謂的推測執行來加速處理。在傳統的程序中,下一個指令應該遵循哪條指令,通常取決于上一個指令的結果(想想if/then)?,F代 CPU 不會等待答案,而是會直接進行推測,做出有根據的猜測之后,開始沿著這些路線執行指令。如果 CPU 猜對了,這種推測執行能夠節省很多時鐘周期。如果猜錯了,那么一切會重新開始,處理器沿著正確的指令順序再次開始。重要的是,錯誤計算的值永遠不會對軟件可見。沒有一個程序可以簡單地輸出推理執行的結果。”
 
然而,在過去幾年中,研究人員已經發現了可以利用推測執行來做一些事情的方法,比如從 CPU 中偷偷地拿出數據。這些被稱為側信道攻擊(side-channel attack),因為它們通過觀察間接信號(例如訪問數據所需的時間)來獲取數據。曾經席卷全球的 Spectre 和 Meltdown 便是側信道攻擊的代表。
 
MIT 研究人員想出了一種方法來欺騙 CPU 猜測指針身份驗證代碼,這樣就不會出現異常,操作系統也不會崩潰。當然,答案對軟件來說仍然是看不見的,其中涉及用數據填充特定的緩沖區,使用 timing 來揭示成功推測取代了哪個部分。
 
 
蘋果:對用戶沒有直接風險
 
截至目前,MIT CSAIL 稱只是展示了 PACMAN 在蘋果 M1 CPU 上的試驗,其他平臺或版本具體情況暫未可知。不過,需要注意的是,PACMAN 類似于幽靈攻擊,不會留下任何日志,因此很多人無法識別出自己的設備是否在被攻擊的范圍內。
 
那么,這是否會對普通用戶帶來一定影響?
 
MIT CSAIL 表示,“只要您保持軟件最新,就可以。PACMAN 是一種利用技術 ——就其本身而言,它不能損害用戶的系統。雖然 PACMAN 的原理是通過硬件機制無法通過軟件功能進行修補,但內存損壞錯誤可能會出現。”
 
就在 MIT 研究人員報告了他們的發現之后,也與蘋果分享了概念驗證攻擊過程和代碼。蘋果的產品團隊向 Yan 的團隊回應道:
 
“我們要感謝研究人員的合作,因為這種概念驗證促進了我們對這些技術的理解。根據我們的分析以及研究人員與我們分享的細節,我們得出結論,這個問題不會對我們的用戶構成直接風險,也不足以單獨繞過設備保護。”
 
對此,也有網友評論稱,”好巧不巧,前段時間的 WWDC22 上宣布了 M2 的到來,如果說 M1 不安全了,那么也是時候換上 M2 了。“然而,現實來看,對于這一剛爆出的漏洞,M2 芯片上是否已經做了修復還是一個未知數。
 
參考:
 
https://pacmanattack.com/
 
https://spectrum.ieee.org/pacman-hack-can-break-apple-m1s-last-line-of-defense
 
http://pacmanattack.com/paper.pdf