Die Chipocalypse 2018 betraf nicht nur Windows und Linux, wie an einigen Stellen zu Beginn gesagt wurde. IOS- und Android-Geräte sind ebenfalls gefährdet. Und wenn sich Systemadministratoren und kompetente PC-Benutzer zumindest irgendwie auf einen Angriff vorbereiten, scheinen die Besitzer von Smartphones nicht zu glauben, dass auf ihre Passwörter und andere Informationen zugegriffen werden kann. Wie reagieren Apple und Google auf die schwerwiegendste Sicherheitslücke von Prozessoren seit Jahrzehnten ihres Bestehens und was können wir tun?
Worüber reden wir?
Wenn jemand gerade aus dem Winterschlaf kam und die wichtigsten IT-Nachrichten von 2018 verpasste, gab Oleg Artamonov hervorragende Bewertungen für Meltdown und Spectre on GT ab. Kurz gesagt, dies sind Sicherheitslücken für fast alle Prozessoren, die in den letzten zwanzig Jahren veröffentlicht wurden (alle Chips mit Intel-, AMD- und ARM-Kernen). Während der spekulativen Ausführung von Vorgängen, die zur Steigerung der Produktivität erforderlich sind, eröffnet der Chip möglicherweise den Zugriff auf Daten für diejenigen Prozesse, die sie nicht hätten empfangen sollen.
The Verge zieht eine Analogie von Meltdown mit einer Bank:
In der Mitte der Bank befindet sich ein Safe mit einem Passwort. Neben ihm steht ein Wachmann mit einer Waffe. Wenn Sie hineingehen und den Safe öffnen, werden sie Sie töten. Bei einer parallelen Messung gehen Sie zur Bank und sie töten Sie, aber Sie schaffen es, in den Safe zu schauen und das Passwort zu rufen. In dieser Dimension hören Sie mit diesem Passwort einen Schrei und erhalten Zugriff auf die Daten. Auch wenn Sie diese Bank nie betreten haben .
Sicherheitslücken Meltdown und Spectre beziehen sich auf die Prozessorkerne, dh dies ist ein Hardwareproblem. Wenn (oder wenn) Malware unter ihnen ausgeführt wird, erhält sie über Software Zugriff auf diese Sicherheitsanfälligkeit sowie auf Ihre Kennwörter und verschlüsselten Informationen. Sie können kein neues „unverwundbares“ Eisen kaufen, es existiert nicht (mit Ausnahme sehr alter Telefone, die um die Jahrhundertwende herausgebracht wurden). Der einzige Weg, sich zu schützen, besteht darin, den Entwicklern von Betriebssystemen und ihren Empfehlungen zu folgen.
Unter iOS
Apple veröffentlichte seine Antwort am Donnerstag, genau einen Tag nachdem Reporter Informationen über das Vorhandensein von Hardware-Schwachstellen in Mikroprozessoren enthüllt hatten. Sie bestätigte, dass alle Mac- und iOS-Geräte von diesem Problem betroffen sind. Es gibt noch keine funktionierenden Exploits, aber Benutzern wird erneut empfohlen, Anwendungen nur von vertrauenswürdigen Quellen (App Store) herunterzuladen und keine potenziell gefährlichen Websites zu besuchen. Angriffe sind über JavaScript möglich.
Das Forschungsteam, das Meltdown und Spectre entdeckte, informierte bereits im Juli alle großen Software- und Hardwarehersteller, und im November gab es sogar einen Patch für Windows 10, mit dem versucht wurde, die Bedrohung zu verringern. Apple hat im Dezember auch einen solchen Patch veröffentlicht - iOS 11.2.1. Der Patch wurde entwickelt, um Meltdown zu bekämpfen. Wenn Sie das Gerät bereits auf diese Version aktualisiert haben (es ist seit Dezember verfügbar), können Angriffe von dieser Seite noch keine Angst haben. Den Tests von GeekBench 4, JetStream und Tachometer nach zu urteilen, nimmt die Systemleistung bei der Installation des Patches nicht ab.
Es gibt noch keinen Schutz gegen Spectre. Die gute Nachricht ist jedoch, dass es für Cyberkriminelle um eine Größenordnung schwieriger sein wird, Skripte dafür zu entwickeln, selbst für Anwendungen, die lokal auf einem iPhone oder iPad ausgeführt werden. Ein potenzieller Exploit kann nur in einem Browser mit JavaScript angezeigt werden (und dann nur theoretisch). Um dem entgegenzuwirken, arbeitet Apple an einem Update für Safari für iOS und macOS. Das Unternehmen verspricht, dass die Verlangsamung weniger als 2,5% betragen wird.
Apple Watch verwendet einen anderen Prozessortyp, und die Schwachstellen von Meltdown und Spectre sind zunächst nicht betroffen.
Auf Android
Android-Nutzer sind einem höheren Risiko ausgesetzt. Google war einer derjenigen, die eine Sicherheitslücke in Chips gefunden haben, und war der erste, der daran arbeitete, diese zu beheben. Es gelang ihr, mehrere Patches zu entwickeln, insbesondere für Android-Geräte mit ARM-Prozessoren. Und sie hat sie bereits im Dezember für ihre Partner freigegeben. Jeder einzelne Smartphone-Entwickler kann jedoch nicht schnell ein Update für seine Firmware entwickeln und veröffentlichen. Darüber hinaus betreffen Patches nicht alle Chips, und für die meisten Geräte gibt es noch keine Lösung.
Intel-Prozessoren sind anfällig für alles, ARM-Kerne sind anfällig für fast alles (ab Cortex-A53 und höher). Die Sicherheitsanfälligkeiten wurden in Cortex-A15-, Cortex A-17-, Cortex A-72- und Cortex-A75-Prozessoren bestätigt. Hierbei handelt es sich um die Prozessoren Exynos 5, Exynos 7, Qualcomm Snapdragon 650, 652, 653, 808 und 810 sowie Mediatek Helio X20. Samsung, LG, HTC, Xiaomi, Meizu und andere - für Geräte über Meltdown und Spectre sind ihre Geräte noch offen.
Am ärgerlichsten waren laut ARM in der Kategorie "anfällig" Prozessoren mit der Cortex-A73-Architektur. Und dies ist das Snapdragon 835, das in die meisten Flaggschiff-Smartphones des Jahres 2017 integriert ist: Galaxy S8, S8 +, Note 8, Google Pixel 2, OnePlus 5 und so weiter. Gleiches gilt für die Flaggschiffe 2015 mit dem Snapdragon 810-Prozessor, in dem die Cortex-A57-Kerne stehen. Das heißt, je teurer Ihr Smartphone ist, desto höher ist die Wahrscheinlichkeit, dass es anfällig für Angriffe ist.
Die gute Nachricht ist, dass Sie sicher sein sollten, wenn Sie ein Smartphone oder Tablet mit ARM-Kernen haben, die oben nicht erwähnt wurden, und der Entwickler Ihres Geräts mit Google auf einem kurzen Weg ist und Sie die neuesten Updates installiert haben. Sie können sicher in das Internet-Banking eintreten und Passwörter aus Zahlungssystemen eingeben. Außerdem hat Google laut Spectre den neuen Retpoline- Patch von Spectre entwickelt, der das System kaum verlangsamt. Sie arbeitet bereits in den Produkten des Unternehmens und sollte anderen Herstellern helfen.
Was kann getan werden?
Bisher sind auch große IT-Unternehmen verwirrt. Niemand hat eine elegante Lösung - es kann erforderlich sein, auf die Freigabe von Prozessoren mit einer neuen Architektur zu warten, um eine vollständige Garantie zu erhalten. Und das ist mehr als ein Jahr: Die aktuellen Prozessoren befinden sich bereits in der Entwicklung und werden sie bisher nicht vom Fließband ARM und Intel entfernen. Bisher liegt unsere Sicherheit in unseren eigenen Händen. Es gibt einige (ziemlich offensichtliche) Regeln, die befolgt werden müssen:
1. Installieren Sie alle Updates Ihres Herstellers.
Sie sagen uns möglicherweise nicht, was genau im Update enthalten ist. So hat Microsoft beispielsweise für Windows 10 gearbeitet, um keine Panik zu verursachen, und sie haben auch versucht, Linux "stillschweigend" zu aktualisieren. Für Smartphones und Tablets ist dies noch wichtiger. Der Entwickler Ihres Geräts sollte den Patch diese Woche buchstäblich veröffentlichen (sofern er dies noch nicht getan hat). Und höchstwahrscheinlich wird danach mehr als ein Schutzpflaster veröffentlicht - sobald neue Lösungen für das Problem gefunden werden. Die Systemleistung kann um 5 bis 30% sinken, aber Sie werden es tatsächlich nicht bemerken. Die leistungsstärksten Anwendungen und Spiele nutzen Systemaufrufe nur wenig, und der Geschwindigkeitsabfall sollte 3% nicht überschreiten.
Für Apple-Smartphones wurden im Dezember Sicherheitsupdates veröffentlicht, für Samsung noch keine (Updates zu anderen Aspekten), die jedoch im Januar erwartet werden. Google-Geräte, einschließlich Nexus 5X, Nexus 6P, Pixel C, Pixel, Pixel 2, erhielten Updates.
Stellen Sie sicher, dass Sie Ihren Browser aktualisieren.
2. Seien Sie vorsichtig bei der Installation neuer Anwendungen
Ein Patch [für jetzt] garantiert nichts. Ein Patch, selbst wenn er zu Ihrem Prozessor passt, erschwert nur die Verwendung von Spectre und Meltdown, um das Gerät zu knacken. Und hier müssen Sie verstehen, dass ein Exploit, der ein Smartphone zerstört, mit ziemlicher Sicherheit als Anwendung herauskommt. Jede laufende Anwendung hat während des Betriebs Zugriff auf den Prozessor. Dies ist alles, was Sie benötigen, um die Sicherheitsanfälligkeit auszunutzen. JavaScript im Browser ist ebenfalls lokal ausgeführter Code, aber das neue Chrome, Firefox und Safari haben es bereits extrem schwierig gemacht, ihn bei einem Angriff zu verwenden. Wenn Sie keine nicht verifizierten Anwendungen, insbesondere APKs, von Drittanbietern herunterladen, wird die Wahrscheinlichkeit, einen Exploit zu „fangen“, erheblich verringert.
Installieren Sie ein Antivirenprogramm, insbesondere wenn Sie über Android verfügen. Überprüfen Sie immer, wer die App im App Store oder bei Google Play heruntergeladen hat. Laden Sie keine unnötigen Dienstprogramme herunter. Die praktische Implementierung der Malware ist äußerst schwierig, und höchstwahrscheinlich greifen Banken und Unternehmen an und nicht unsere Passwörter von GT und Telegram in Smartphones. Aber die Wahrscheinlichkeit bleibt bestehen und es gibt genug Malware in Smartphones und Tablets auf unserem Kopf. Im Jahr 2017 wurden weltweit 90 Millionen Viren gefunden, und nach den Nachrichten dieser Woche droht dieses Jahr noch schlimmer zu werden. Insbesondere im Zusammenhang mit den neuesten Prognosen, dass Hackerangriffe im Jahr 2018 von AI angeführt werden. So sagen 62% der von Cylance befragten Top-Sicherheitsexperten.
Für Intel kann sich die aktuelle Situation übrigens in einen Gewinn verwandeln: Chips, die diese Sicherheitslücken nicht enthalten und in ein paar Jahren veröffentlicht werden, werden wie nie zuvor gefragt sein. Das schwierigste davon. Unternehmen haben Microsoft und Amazon - ihre riesigen Cloud-Dienste (AWS, Azure) und virtuellen Maschinen sind einer großen Bedrohung ausgesetzt. Wenn einige Hacker versuchen, Spectre und Meltdown zu "mounten", ist einer der ersten Angriffe logisch, um sie zu steuern.
PS
Neue Geräte aus den USA können über uns übernommen werden. Einschließlich einer vollständig sicheren Apple Watch mit einem proprietären Prozessor. 30-40% billiger als in der Russischen Föderation, weil ohne die Mikhalkov Steuer und andere Zölle. Leser, die nach der Registrierung den GEEKTIMES-Code eingeben, erhalten 7 USD auf dem Konto.