Le Chipocalypse 2018 n'a pas seulement affecté Windows et Linux, comme cela a été dit à certains endroits au début. Les appareils IOS et Android sont également à risque. Et si les administrateurs système et les utilisateurs de PC compétents se préparent au moins d'une manière ou d'une autre à une attaque, même mentalement, les propriétaires de smartphones ne semblent pas penser que leurs mots de passe et autres informations sont accessibles. Comment Apple et Google réagissent à la vulnérabilité la plus grave des processeurs pendant toutes les décennies de leur existence, et que pouvons-nous faire?
De quoi parle-t-on
Si quelqu'un vient de sortir de l'hibernation et a raté les principales nouvelles informatiques de 2018, Oleg Artamonov a fait d'excellentes critiques pour Meltdown et pour Spectre sur GT. En bref, ce sont des vulnérabilités pour presque tous les processeurs commercialisés au cours des vingt dernières années (toutes les puces avec cœurs Intel, AMD, ARM). Lors de l'exécution spéculative des opérations nécessaires pour augmenter la productivité, la puce ouvre potentiellement l'accès aux données pour les processus qui n'auraient pas dû les recevoir.
The Verge tire une analogie de Meltdown avec une banque:
Au centre de la banque se trouve un coffre-fort avec un mot de passe. À côté de lui, un gardien de sécurité avec une arme à feu. Si vous entrez et ouvrez le coffre-fort, ils vous tueront. Dans une mesure parallèle, vous allez à la banque et ils vous tuent, mais vous parvenez à regarder dans le coffre-fort et à crier le mot de passe. Et dans cette dimension, vous entendez un cri avec ce mot de passe et accédez aux données. Même si vous n'êtes jamais entré dans cette banque.
Les vulnérabilités Meltdown et Specter sont liées aux cœurs de processeur, c'est-à-dire qu'il s'agit d'un problème matériel. Mais lorsque (ou si) des logiciels malveillants sont exécutés sous eux, ils auront accès à cette vulnérabilité - ainsi qu'à vos mots de passe et informations cryptées - via un logiciel. Vous ne pouvez pas acheter de nouveau fer «invulnérable», il n'existe pas (sauf pour les très vieux téléphones sortis au tournant du siècle), donc la seule façon de vous protéger est de suivre les développeurs de systèmes d'exploitation et leurs recommandations.
Sur iOS
Apple a publié sa réponse jeudi, le jour même après que les journalistes ont dévoilé des informations sur la présence de vulnérabilités matérielles dans les microprocesseurs. Elle a confirmé que tous les appareils Mac et iOS sont concernés par ce problème. Il n'y a pas encore d'exploits qui fonctionnent, mais il est à nouveau recommandé aux utilisateurs de télécharger des applications uniquement à partir de sources fiables (App Store) et de ne pas visiter des sites potentiellement dangereux - les attaques sont possibles via JavaScript.
L'équipe de recherche, qui a découvert Meltdown et Spectre, a informé tous les principaux fabricants de logiciels et de matériel en juillet, et il y a même eu un correctif pour Windows 10 en novembre essayant de réduire la menace. Apple a également publié un tel patch - iOS 11.2.1, en décembre. Le correctif est conçu pour combattre Meltdown, et si vous avez déjà mis à jour l'appareil vers cette version (il est disponible depuis décembre), les attaques de ce côté ne peuvent pas encore avoir peur. A en juger par les tests de GeekBench 4, JetStream et Speedometer, les performances du système ne diminuent pas lors de l'installation du patch.
Il n'y a pas encore de protection contre Spectre. Mais la bonne nouvelle est qu'il sera plus difficile pour les cybercriminels de développer des scripts pour cela, même pour les applications s'exécutant localement sur un iPhone ou un iPad. Un exploit potentiel ne peut apparaître que dans un navigateur avec JavaScript (et seulement en théorie). Pour contrer cela, Apple travaille sur une mise à jour pour Safari pour iOS et macOS. La société promet que le ralentissement sera inférieur à 2,5%.
L'Apple Watch utilise un type de processeur différent et les vulnérabilités de Meltdown et Spectre ne sont pas affectées au départ.
Sur Android
Les utilisateurs d'Android sont plus à risque. Google a été l'un de ceux qui ont trouvé une vulnérabilité dans les puces et a été le premier à travailler pour la corriger. Elle a réussi à développer plusieurs correctifs , en particulier pour les appareils Android dotés de processeurs ARM. Et elle les a libérés pour ses partenaires en décembre. Mais chaque développeur de smartphone individuel ne pourra pas développer et publier rapidement une mise à jour de son firmware. De plus, les patchs ne concernent pas toutes les puces, et pour la plupart des appareils il n'y a pas encore de solution.
Les processeurs Intel sont sensibles à tout, les cœurs ARM sont sensibles à presque tout (à partir du Cortex-A53 et supérieur). Les vulnérabilités ont été confirmées dans les processeurs Cortex-A15, Cortex A-17, Cortex A-72, Cortex-A75, et il s'agit d'Exynos 5, Exynos 7, Qualcomm Snapdragon 650, 652, 653, 808 et 810, Mediatek Helio X20. Samsung, LG, HTC, Xiaomi, Meizu et autres - pour les appareils via Meltdown et Spectre, leurs appareils sont toujours ouverts.
Les plus ennuyeux - selon ARM, dans la catégorie des «vulnérables» étaient les processeurs avec l'architecture Cortex-A73. Et c'est le Snapdragon 835, inséré dans la plupart des smartphones phares de 2017: Galaxy S8, S8 +, Note 8, Google Pixel 2, OnePlus 5 et ainsi de suite. Il en va de même pour les produits phares de 2015 avec le processeur Snapdragon 810, dans lequel se trouvent les cœurs Cortex-A57. Autrement dit, plus votre smartphone est cher, plus il a de chances d'attaquer.
La bonne nouvelle est que si vous avez un smartphone ou une tablette avec des cœurs ARM, qui ne sont pas mentionnés ci-dessus, et que le développeur de votre appareil est sur une courte distance avec Google, et que vous avez installé les dernières mises à jour, vous devriez être en sécurité. Vous pouvez accéder en toute sécurité aux services bancaires par Internet et saisir les mots de passe des systèmes de paiement. De plus, Google dit avoir développé le nouveau patch Retpoline de Spectre, qui ralentit à peine le système. Elle travaille déjà dans les produits de l'entreprise et devrait aider d'autres fabricants.
Que peut-on faire
Jusqu'à présent, même les grandes entreprises informatiques sont confuses. Personne n'a une solution élégante - il peut être nécessaire d'attendre la sortie des processeurs avec une nouvelle architecture pour une garantie complète. Et cela fait plus d'un an: les processeurs actuels sont déjà en cours de développement, et jusqu'à présent ils ne vont pas les retirer de la chaîne de montage ARM et Intel. Jusqu'à présent, notre sécurité est entre nos mains. Il y a quelques règles (assez évidentes) à suivre:
1. Installez toutes les mises à jour de votre fabricant.
Ils peuvent ne pas nous dire exactement ce qui est contenu dans la mise à jour. Ainsi, par exemple, Microsoft l'a fait pour Windows 10 afin de ne pas provoquer de panique, et ils ont également essayé de mettre à niveau "silencieusement" Linux. Pour les smartphones et les tablettes, c'est encore plus important. Le développeur de votre appareil devrait publier le correctif littéralement cette semaine (s'il ne l'a pas déjà fait). Et, très probablement, il libérera plus d'un patch de protection après cela - à mesure que de nouvelles solutions au problème seront trouvées. Les performances du système peuvent diminuer de 5 à 30%, mais en fait, vous ne le remarquerez pas. Les applications et les jeux les plus puissants utilisent peu les appels système, et leur baisse de vitesse ne doit pas dépasser 3%.
Pour les smartphones Apple, des mises à jour de sécurité sont sorties en décembre, pour Samsung elles ne l'ont pas encore fait (mises à jour liées à d'autres aspects), mais elles sont attendues en janvier. Les appareils Google, y compris le Nexus 5X, le Nexus 6P, le Pixel C, le Pixel, le Pixel 2, ont reçu des mises à jour.
Assurez-vous de mettre à jour votre navigateur.
2. Soyez prudent lors de l'installation de nouvelles applications
Avoir un patch [pour l'instant] ne garantit rien. Un patch, même s'il convient à votre processeur, ne fait que compliquer l'utilisation de Spectre et Meltdown pour casser l'appareil. Et ici, vous devez comprendre que si un exploit brisant un smartphone est créé, il sortira presque certainement sous forme d'application. Toute application en cours d'exécution a accès au processeur pendant le fonctionnement, et c'est tout ce qu'il faut pour tirer parti de la vulnérabilité. JavaScript dans le navigateur est également du code exécuté localement, mais les nouveaux Chrome, Firefox et Safari ont déjà rendu extrêmement difficile son utilisation lors d'une attaque. Si vous ne téléchargez pas d'applications non vérifiées, en particulier des fichiers APK provenant de sites tiers, les chances de «capturer» un exploit sont sérieusement réduites.
Installez un antivirus, surtout si vous avez Android. Vérifiez toujours qui a téléchargé l'application sur l'App Store ou sur Google Play. Ne téléchargez pas d'utilitaires inutiles. La mise en œuvre pratique du malware est extrêmement difficile, et les banques et les entreprises vont probablement attaquer, et non nos mots de passe de GT et Telegram dans les smartphones. Mais la probabilité demeure, et il y a suffisamment de malwares dans les smartphones et les tablettes sur notre tête. En 2017, 90 millions de virus ont été trouvés dans le monde, et à en juger par les nouvelles de cette semaine, cette année menace de s'aggraver. Surtout en lien avec les dernières prévisions selon lesquelles les attaques de pirates en 2018 seront menées par l'IA. C'est ce que dit 62% des meilleurs experts en sécurité interrogés par Cylance.
Pour Intel, en passant, la situation actuelle pourrait bien se transformer en profit: les puces qui ne contiennent pas ces vulnérabilités, qui seront publiées dans quelques années, seront plus demandées que jamais. Le plus difficile d'entre eux. les entreprises ont Microsoft et Amazon - leurs services cloud géants (AWS, Azure) et leurs machines virtuelles sont sous une grande menace, et si certains pirates tentent de "monter" Spectre et Meltdown, l'une des premières attaques sera logique de les diriger.
PS
De nouveaux gadgets en provenance des États-Unis peuvent être apportés par notre intermédiaire. Y compris une Apple Watch entièrement sécurisée avec un processeur propriétaire. 30 à 40% moins cher qu'en Fédération de Russie, car sans la taxe Mikhalkov et autres droits. Les lecteurs qui entrent le code GEEKTIMES après l'inscription reçoivent 7 $ sur le compte.