كيف يؤثر الانهيار ونقاط الضعف على شبكتك على هاتفك الذكي

لم يؤثر Chipocalypse 2018 على Windows و Linux فقط ، كما قيل في بعض الأماكن في البداية. كما أن أجهزة IOS و Android في خطر. وإذا كان مسؤولو النظام ومستخدمي أجهزة الكمبيوتر الشخصيون الأكفاء يستعدون بطريقة ما على الأقل بطريقة ما للهجوم ، حتى وإن كان عقليًا ، لا يبدو أن مالكي الهواتف الذكية يعتقدون أنه يمكن الوصول إلى كلمات المرور والمعلومات الأخرى الخاصة بهم. كيف تتفاعل Apple و Google مع أخطر نقاط ضعف المعالجات طوال عقود وجودها ، وماذا يمكننا أن نفعل؟

ما نتحدث عنه

إذا خرج شخص ما للتو من السبات وغاب عن أخبار تكنولوجيا المعلومات الرئيسية لعام 2018 ، فقد قام Oleg Artamonov بمراجعات ممتازة لـ Meltdown و Spectre على GT. باختصار ، هذه نقاط ضعف لجميع المعالجات تقريبًا التي تم إصدارها في السنوات العشرين الماضية (جميع الرقائق مع نوى Intel و AMD و ARM). أثناء تنفيذ المضاربة للعمليات اللازمة لزيادة الإنتاجية ، من المحتمل أن تفتح الشريحة الوصول إلى البيانات لتلك العمليات التي لم يكن من المفترض أن تتلقاها.

The Verge يرسم تشابهًا لـ Meltdown مع أحد البنوك:

يوجد في وسط البنك خزنة بكلمة مرور. بجانبه حارس أمن بمسدس. إذا دخلت وفتحت الخزنة ، فسوف يقتلك. في قياس متوازي ، تذهب إلى البنك ويقتلك ، لكنك تنجح في النظر في الخزنة وتصرخ كلمة المرور. وفي هذا البعد ، تسمع صرخة بكلمة المرور هذه ، وتصل إلى البيانات. على الرغم من أنك لم تدخل هذا البنك.

تتعلق الثغرات الأمنية Meltdown و Spectre بنوى المعالج ، أي أن هذه مشكلة في الأجهزة. ولكن عندما (أو) يتم تنفيذ البرامج الضارة تحتها ، فسوف تحصل على الوصول إلى هذه الثغرة الأمنية - بالإضافة إلى كلمات المرور والمعلومات المشفرة - من خلال البرامج. لا يمكنك شراء مكواة جديدة "غير محصنة" ، فهي غير موجودة (باستثناء الهواتف القديمة جدًا التي تم إصدارها في مطلع القرن) ، لذا فإن الطريقة الوحيدة لحماية نفسك هي اتباع مطوري أنظمة التشغيل وتوصياتهم.

على iOS

أصدرت شركة آبل ردها يوم الخميس ، بعد يوم واحد من كشف الصحفيين عن معلومات حول وجود ثغرات في الأجهزة في المعالجات الدقيقة. وأكدت أن جميع أجهزة Mac و iOS تتأثر بهذه المشكلة. لا توجد ثغرات عمل حتى الآن ، ولكن يُنصح المستخدمون مرة أخرى بتنزيل التطبيقات فقط من مصادر موثوقة (متجر التطبيقات) وعدم زيارة مواقع يحتمل أن تكون خطرة - الهجمات ممكنة من خلال جافا سكريبت.

أبلغ فريق البحث ، الذي اكتشف Meltdown و Specter ، جميع الشركات المصنعة الرئيسية للبرامج والأجهزة في يوليو ، وكان هناك تصحيح لنظام التشغيل Windows 10 في نوفمبر يحاول تقليل التهديد. أصدرت Apple أيضًا هذا التصحيح - iOS 11.2.1 ، في ديسمبر. تم تصميم التصحيح لمحاربة Meltdown ، وإذا قمت بالفعل بتحديث الجهاز إلى هذا الإصدار (كان متاحًا منذ ديسمبر) ، فإن الهجمات من هذا الجانب لا يمكن أن تخاف بعد. من خلال اختبارات GeekBench 4 و JetStream و Speedometer ، لا ينخفض ​​أداء النظام عند تثبيت التصحيح.

لا توجد حماية ضد Spectre حتى الآن. لكن الخبر السار هو أنه سيكون من الصعب على المجرمين الإلكترونيين تطوير نصوص من أجل ذلك ، حتى بالنسبة للتطبيقات التي تعمل محليًا على iPhone أو iPad. يمكن لبرمجيات إكسبلويت المحتملة أن تظهر فقط في متصفح به جافا سكريبت) ثم نظريًا فقط (. لمواجهة ذلك ، تعمل Apple على تحديث Safari لنظامي iOS و macOS. تعد الشركة بأن التباطؤ سيكون أقل من 2.5٪.

تستخدم Apple Watch نوعًا مختلفًا من المعالجات ، ولا تتأثر نقاط الضعف في Meltdown و Specter في البداية.

على Android

مستخدمو Android في خطر أكبر. كان Google أحد أولئك الذين وجدوا ثغرة في الرقائق ، وكان أول من عمل على إصلاحها. تمكنت من تطوير العديد من التصحيحات ، خاصة لأجهزة Android مع معالجات ARM. وأطلقت سراحهم لشركائها في ديسمبر. ولكن لن يتمكن كل مطور فردي للهواتف الذكية من تطوير تحديث لبرامجهم الثابتة وإصداره بسرعة. بالإضافة إلى ذلك ، لا تتعلق التصحيحات بجميع الرقائق ، ولا يوجد حل لمعظم الأجهزة حتى الآن.

تكون معالجات Intel عرضة لكل شيء ، وتكون نوى ARM عرضة لكل شيء تقريبًا (من Cortex-A53 وأعلى). تم تأكيد الثغرات الأمنية في Cortex-A15 و Cortex A-17 و Cortex A-72 و Cortex-A75 وهذه هي Exynos 5 و Exynos 7 و Qualcomm Snapdragon 650 و 652 و 653 و 808 و 810 و Mediatek Helio X20. Samsung و LG و HTC و Xiaomi و Meizu وغيرها - للأجهزة من خلال Meltdown و Specter ، لا تزال أجهزتهم مفتوحة.

الأكثر إزعاجًا - وفقًا لـ ARM ، في فئة "الضعيفة" كانت المعالجات ذات بنية Cortex-A73. وهذا هو Snapdragon 835 ، مدرج في معظم الهواتف الذكية الرئيسية لعام 2017: Galaxy S8 و S8 + و Note 8 و Google Pixel 2 و OnePlus 5 وما إلى ذلك. وينطبق الشيء نفسه على الرائد لعام 2015 مع معالج Snapdragon 810 ، حيث تقف النوى Cortex-A57. أي أنه كلما كان هاتفك الذكي أكثر تكلفة ، زادت فرصة تعرضه للهجوم.

الخبر السار هو أنه إذا كان لديك هاتف ذكي أو جهاز لوحي به نوى ARM ، والتي لم يتم ذكرها أعلاه ، وكان مطور جهازك في مرحلة قصيرة مع Google ، وقمت بتثبيت آخر التحديثات ، يجب أن تكون آمنًا. يمكنك إدخال الخدمات المصرفية عبر الإنترنت بأمان وإدخال كلمات المرور من أنظمة الدفع. بالإضافة إلى ذلك ، تقول Google أنها طورت رقعة Retpoline الجديدة من Spectre ، والتي بالكاد تبطئ النظام. تعمل بالفعل في منتجات الشركة ، ويجب أن تساعد الشركات المصنعة الأخرى.

ما الذي يمكن عمله

حتى الآن ، يتم الخلط بين شركات تكنولوجيا المعلومات الكبيرة. لا يوجد لدى أحد الحل الأنيق - قد يكون من الضروري انتظار إصدار المعالجات بهندسة معمارية جديدة لضمان كامل. وهذا أكثر من عام: المعالجات الحالية قيد التطوير بالفعل ، وحتى الآن لن تقوم بإزالتها من خط التجميع ARM و Intel. حتى الآن ، أمننا في أيدينا. هناك بعض القواعد (الواضحة إلى حد ما) التي يجب اتباعها:

1. قم بتثبيت كافة التحديثات من الشركة المصنعة الخاصة بك.

قد لا يخبروننا ما هو موجود بالضبط في التحديث. لذا ، على سبيل المثال ، فعلت Microsoft لنظام التشغيل Windows 10 حتى لا تسبب الذعر ، وحاولت أيضًا ترقية Linux "بصمت". بالنسبة للهواتف الذكية والأجهزة اللوحية ، يعد هذا أكثر أهمية. يجب على مطور جهازك إصدار التصحيح حرفياً هذا الأسبوع (إذا لم يقم بذلك بالفعل). وعلى الأرجح ، ستطلق أكثر من رقعة واقية بعد ذلك - حيث تم العثور على حلول جديدة للمشكلة. قد ينخفض ​​أداء النظام بنسبة 5-30٪ ، ولكن في الحقيقة لن تلاحظ ذلك. لا تستخدم التطبيقات والألعاب الأقوى مكالمات النظام إلا قليلاً ، ولا ينبغي أن يتجاوز الانخفاض في السرعة فيها 3٪.

بالنسبة للهواتف الذكية من Apple ، ظهرت تحديثات الأمان في ديسمبر ، أما بالنسبة إلى Samsung فهي لم تصل بعد (التحديثات المتعلقة بالجوانب الأخرى) ، ولكن من المتوقع أن تكون في يناير. تلقت أجهزة Google ، بما في ذلك Nexus 5X و Nexus 6P و Pixel C و Pixel و Pixel 2 تحديثات.

تأكد من تحديث المتصفح الخاص بك.

2. كن حذرا مع تثبيت التطبيقات الجديدة

وجود رقعة [حتى الآن] لا يضمن أي شيء. التصحيح ، حتى إذا كان يناسب المعالج الخاص بك ، يعقد فقط استخدام Spectre و Meltdown لكسر الجهاز. وهنا عليك أن تفهم أنه إذا تم إنشاء كسر استغلال برمجية للهاتف الذكي ، فمن المؤكد أنه سيظهر كتطبيق. يمكن لأي تطبيق قيد التشغيل الوصول إلى المعالج أثناء التشغيل ، وهذا كل ما يلزم للاستفادة من الثغرة الأمنية. جافا سكريبت في المتصفح هي أيضًا تعليمات برمجية يتم تنفيذها محليًا ، ولكن Chrome و Firefox و Safari الجديد جعلوا بالفعل من الصعب للغاية استخدامها في هجوم. إذا لم تقم بتنزيل تطبيقات لم يتم التحقق منها ، وخاصة ملفات APK من المواقع الثالثة ، فإن فرص "اكتشاف" برمجية إكسبلويت تقل بشكل خطير.

قم بتثبيت مضاد للفيروسات ، خاصة إذا كان لديك أندرويد. تحقق دائمًا من الشخص الذي قام بتنزيل التطبيق على App Store أو Google Play. لا تقم بتنزيل أدوات مساعدة غير ضرورية. إن التنفيذ العملي للبرامج الضارة صعب للغاية ، ومن المرجح أن تهاجم البنوك والشركات ، وليس كلمات المرور الخاصة بنا من GT و Telegram في الهواتف الذكية. ولكن يبقى الاحتمال ، وهناك ما يكفي من البرامج الضارة في الهواتف الذكية والأجهزة اللوحية على رؤوسنا. في عام 2017 ، تم العثور على 90 مليون فيروس في العالم ، وبحسب أخبار هذا الأسبوع ، يهدد هذا العام بأن يصبح أسوأ. خاصة فيما يتعلق بأحدث التوقعات بأن هجمات القراصنة في 2018 ستقودها منظمة العفو الدولية. هكذا يقول 62٪ من كبار خبراء الأمن الذين شملهم استطلاع Cylance.

بالنسبة لشركة إنتل ، بالمناسبة ، قد يتحول الوضع الحالي إلى ربح: الرقائق التي لا تحتوي على نقاط الضعف هذه ، والتي سيتم إصدارها في غضون عامين ، ستكون مطلوبة بشكل لم يسبق له مثيل. أصعب من هؤلاء. الشركات لديها Microsoft و Amazon - خدمات السحابة العملاقة (AWS و Azure) والأجهزة الظاهرية معرضة لتهديد كبير ، وإذا حاول بعض المتسللين "تركيب" Spectre و Meltdown ، فإن إحدى الهجمات الأولى ستكون منطقية لتوجيهها.

ملاحظة

يمكن أخذ الأدوات الجديدة من الولايات المتحدة من خلالنا. بما في ذلك Apple Watch آمنة تمامًا مع معالج خاص. 30-40 ٪ أرخص مما كانت عليه في الاتحاد الروسي ، لأنه بدون ضريبة Mikhalkov وغيرها من الواجبات. القراء الذين يدخلون رمز GEEKTIMES بعد التسجيل يحصلون على 7 دولارات في الحساب.