O Chipocalypse de 2018 afetou não apenas o Windows e o Linux, como foi dito em alguns lugares no início. Os dispositivos IOS e Android também estão em risco. E se os administradores de sistema e usuários competentes de PC estão de alguma forma se preparando para um ataque, mesmo que mentalmente, os proprietários de smartphones não parecem pensar que suas senhas e outras informações possam ser acessadas. Como a Apple e o Google reagem à vulnerabilidade mais grave dos processadores por todas as décadas de existência e o que podemos fazer?
Do que estamos falando?
Se alguém saiu da hibernação e perdeu as principais notícias de TI de 2018, Oleg Artamonov fez excelentes críticas por Meltdown e Spectre no GT. Em resumo, essas são vulnerabilidades para quase todos os processadores lançados nos últimos vinte anos (todos os chips com núcleos Intel, AMD e ARM). Durante a execução especulativa das operações necessárias para aumentar a produtividade, o chip potencialmente abre o acesso aos dados para os processos que não deveriam tê-los recebido.
The Verge faz uma analogia de Meltdown com um banco:
No centro do banco é um cofre com uma senha. Ao lado dele está um segurança com uma arma. Se você entrar e abrir o cofre, eles o matarão. Em uma medição paralela, você vai ao banco e eles o matam, mas você consegue olhar para o cofre e gritar a senha. E nesta dimensão, você ouve um grito com essa senha e obtém acesso aos dados. Mesmo que você nunca tenha entrado neste banco.
Vulnerabilidades Meltdown e Spectre estão relacionados aos núcleos do processador, ou seja, este é um problema de hardware. Mas quando (ou se) o malware é feito sob eles, ele recebe acesso a essa vulnerabilidade - bem como a suas senhas e informações criptografadas - por meio de software. Você não pode comprar ferro novo "invulnerável", ele não existe (exceto telefones muito antigos lançados na virada do século); portanto, a única maneira de se proteger é seguir os desenvolvedores de sistemas operacionais e suas recomendações.
No iOS
A Apple divulgou sua resposta na quinta-feira, no mesmo dia em que os repórteres divulgaram informações sobre a presença de vulnerabilidades de hardware nos microprocessadores. Ela confirmou que todos os dispositivos Mac e iOS são afetados por esse problema. Ainda não existem explorações funcionais, mas recomenda-se aos usuários baixar novamente aplicativos apenas de fontes confiáveis (App Store) e não visitar sites potencialmente perigosos - ataques são possíveis através do JavaScript.
A equipe de pesquisa, que descobriu a Meltdown e a Spectre, informou todos os principais fabricantes de software e hardware em julho, e houve até um patch para o Windows 10 em novembro tentando reduzir a ameaça. A Apple também lançou esse patch - iOS 11.2.1, em dezembro. O patch foi projetado para combater o Meltdown e, se você já atualizou o dispositivo para esta versão (está disponível desde dezembro), os ataques desse lado ainda não podem ter medo. A julgar pelos testes do GeekBench 4, JetStream e Speedometer, o desempenho do sistema não diminui ao instalar o patch.
Ainda não há proteção contra Spectre. Mas a boa notícia é que será uma ordem de magnitude mais difícil para os cibercriminosos desenvolverem scripts para isso, mesmo para aplicativos executados localmente em um iPhone ou iPad. Uma exploração potencial só pode aparecer em um navegador com JavaScript (e depois apenas teoricamente). Para combater isso, a Apple está trabalhando em uma atualização para o Safari para iOS e macOS. A empresa promete que a desaceleração será inferior a 2,5%.
O Apple Watch usa um tipo diferente de processador e as vulnerabilidades do Meltdown e Spectre não são afetadas inicialmente.
No Android
Usuários do Android estão em maior risco. O Google foi um dos que encontrou uma vulnerabilidade nos chips e foi o primeiro a trabalhar para corrigi-lo. Ela conseguiu desenvolver vários patches , especialmente para dispositivos Android com processadores ARM. E ela as lançou para seus parceiros em dezembro. Mas cada desenvolvedor de smartphone individual não poderá desenvolver e lançar rapidamente uma atualização para o firmware. Além disso, os patches não dizem respeito a todos os chips e, para a maioria dos dispositivos, ainda não há solução.
Os processadores Intel são suscetíveis a tudo, os núcleos ARM são suscetíveis a quase tudo (do Cortex-A53 e superior). As vulnerabilidades foram confirmadas nos processadores Cortex-A15, Cortex A-17, Cortex A-72, Cortex-A75 e são Exynos 5, Exynos 7, Qualcomm Snapdragon 650, 652, 653, 808 e 810, processadores Mediatek Helio X20. Samsung, LG, HTC, Xiaomi, Meizu e outros - para dispositivos através de Meltdown e Spectre, seus dispositivos ainda estão abertos.
Os mais irritantes - segundo a ARM, na categoria de "vulneráveis" foram os processadores com a arquitetura Cortex-A73. E esse é o Snapdragon 835, inserido na maioria dos principais smartphones de 2017: Galaxy S8, S8 +, Nota 8, Google Pixel 2, OnePlus 5 e assim por diante. O mesmo vale para os flagships de 2015 com o processador Snapdragon 810, no qual os núcleos Cortex-A57 estão. Ou seja, quanto mais caro o seu smartphone, maior a chance de ele sofrer ataques.
A boa notícia é que, se você possui um smartphone ou tablet com núcleos ARM, que não foram mencionados acima, e o desenvolvedor do seu dispositivo está interessado no Google, e você instalou as atualizações mais recentes, deve estar seguro. Você pode entrar com segurança no Internet banking e nas senhas dos sistemas de pagamento. Além disso, o Google diz que desenvolveu o novo patch Retpoline da Spectre, que dificilmente desacelera o sistema. Ela já trabalha nos produtos da empresa e deve ajudar outros fabricantes.
O que pode ser feito
Até agora, até grandes empresas de TI estão confusas. Ninguém tem uma solução elegante - pode ser necessário aguardar o lançamento de processadores com uma nova arquitetura para obter uma garantia completa. E isso é mais de um ano: os processadores atuais já estão em desenvolvimento e, até agora, eles não serão removidos da linha de montagem ARM e Intel. Até agora, nossa segurança está em nossas próprias mãos. Existem algumas regras (bastante óbvias) a serem seguidas:
1. Instale todas as atualizações do seu fabricante.
Eles podem não nos dizer exatamente o que está contido na atualização. Por exemplo, a Microsoft fez o Windows 10 para não causar pânico, e eles também tentaram "silenciosamente" atualizar o Linux. Para smartphones e tablets, isso é ainda mais importante. O desenvolvedor do seu dispositivo deve lançar o patch literalmente esta semana (se ele ainda não o fez). E, provavelmente, ele lançará mais de um adesivo protetor depois disso - à medida que novas soluções para o problema forem encontradas. O desempenho do sistema pode diminuir de 5 a 30%, mas na verdade você não notará. Os aplicativos e jogos mais poderosos fazem pouco uso das chamadas do sistema, e a queda na velocidade delas não deve exceder 3%.
Para smartphones da Apple, as atualizações de segurança foram lançadas em dezembro, para a Samsung ainda não (atualizações relacionadas a outros aspectos), mas são esperadas para janeiro. Os dispositivos do Google, incluindo o Nexus 5X, Nexus 6P, Pixel C, Pixel, Pixel 2, receberam atualizações.
Certifique-se de atualizar seu navegador.
2. Cuidado ao instalar novos aplicativos
Ter um patch [por enquanto] não garante nada. Um patch, mesmo que seja adequado ao seu processador, apenas complica o uso do Spectre e do Meltdown para quebrar o dispositivo. E aqui você precisa entender que, se uma exploração que quebra um smartphone for criada, ele quase certamente sairá como um aplicativo. Qualquer aplicativo em execução tem acesso ao processador durante a operação, e isso é o suficiente para tirar proveito da vulnerabilidade. O JavaScript no navegador também é um código executado localmente, mas o novo Chrome, Firefox e Safari já tornaram extremamente difícil usá-lo em um ataque. Se você não baixar aplicativos não verificados, especialmente APKs de terceiros sites, as chances de "capturar" uma exploração serão seriamente reduzidas.
Instale um antivírus, especialmente se você tiver Android. Sempre verifique quem fez o download do aplicativo na App Store ou no Google Play. Não faça o download de utilitários desnecessários. A implementação prática do malware é extremamente difícil e, provavelmente, bancos e empresas atacarão, e não nossas senhas do GT e Telegram nos smartphones. Mas a probabilidade permanece e há malware suficiente em smartphones e tablets em nossa cabeça. Em 2017, 90 milhões de vírus foram encontrados no mundo e, a julgar pelas notícias desta semana, este ano ameaça se tornar ainda pior. Especialmente em conexão com as últimas previsões de que os ataques de hackers em 2018 serão liderados pela IA. O mesmo diz 62% dos principais especialistas em segurança pesquisados pela Cylance.
Para a Intel, a propósito, a situação atual pode se tornar um lucro: chips que não contêm essas vulnerabilidades, que serão lançadas em alguns anos, estarão em demanda como nunca antes. O mais difícil deles. as empresas têm Microsoft e Amazon - seus gigantes serviços de nuvem (AWS, Azure) e máquinas virtuais estão sob grande ameaça e, se alguns hackers tentarem "montar" Spectre e Meltdown, um dos primeiros ataques será lógico para direcioná-los.
PS
Novos gadgets dos EUA podem ser adquiridos através de nós. Incluindo um Apple Watch totalmente seguro com um processador proprietário. 30-40% mais barato do que na Federação Russa, porque sem o imposto Mikhalkov e outros direitos. Os leitores que inserem o código GEEKTIMES após o registro recebem US $ 7 na conta.