Виявлені два недоліки безпеки, які піддають ризику всі ваші дані
Крихітні чіпи, великі недоліки безпеки
Центральний процесор (CPU) по суті є «мозком» будь-якого комп'ютера. Всякий раз, коли ви запускаєте програму, введіть команду або клацніть посилання, ви відправляєте інструкції в CPU. Project Zero, група аналітиків з безпеки, зібрана Google в 2014 році, розкрила їх відкриття двох основних недоліків безпеки при розробці процесорів і мікропроцесорів, які були виявлені на більшості комп'ютерів, смартфонів і планшетів, випущених за останні 20 років.
Дослідники назвали першу апаратну помилку Spectre. Це дає зловмисникам можливість обдурити в іншому випадку безпомилкові програми для обміну інформацією, порушуючи ізоляцію між різними додатками.
Дослідники говорять, що Spectre зачіпає майже всі обчислювальні системи (настільні комп'ютери, ноутбуки, хмарні сервери і смартфони) і перевірена на процесорах Intel, AMD і ARM.
Інша помилка, яку дослідники назвали Meltdown, спотворює різницю між одними додатками і операційною системою (ОС). Використовуючи Meltdown, хакер може використовувати одну програму для доступу до пам'яті іншої програми або ОС пристрою. Meltdown впливає на комп'ютери настільних комп'ютерів, ноутбуків і хмарних комп'ютерів. Поки дослідники Project Zero тільки підтвердили це на процесорах Intel.
Команда Project Zero вперше виявила ці недоліки безпеки в червні 2017 року, і план полягав у тому, щоб технологічне співтовариство розкрило їх громадськості 9 січня 2018 року.
Мета секретності полягала в тому, щоб дати компаніям час для вирішення проблем до того, як з'явилися новини про них, але чутки і ранні повідомлення підштовхнули розслідування до 3 січня 2018 року.
Що тепер?
Згідно зі звітом команди Project Zero, Spectre і Meltdown дають хакерам можливість вкрасти вміст всієї пам'яті пристрою. Це означає, що у них є доступ до бібліотеки фотографій користувача, електронної пошти, миттєвих повідомлень, паролів і т. Д. Щоб уникнути хаосу, викликаного такими порушеннями, технічні компанії поспішають усувати уразливості.
В даний час найвідомішим рішенням для помилки Meltdown є Kaiser - програмний патч, розроблений дослідниками в Університеті Граца в Австрії для вирішення іншої проблеми. Проте, патч може з'явитися з уловом: він, як повідомляється, змушує системи працювати на 30% повільніше.
Specter виявляється ще більш грізним, і єдиним рішенням може бути перепроектування процесорів. «Оскільки це нелегко виправити, це буде переслідувати нас протягом досить довгого часу», - пишуть дослідники в своєму звіті. Недоліки безпеки в CPU залишають їх уразливими для хакерів.
У міру того, як Internet of Things (IoT) продовжує зростати, у хакерів є все більше число можливостей, за допомогою яких можна отримати доступ до нашої особистої інформації, що означає, що ця інформація буде ставати все більш і більш важливою.
До сих пір команда Project Zero заявила, що не знайшла переконливих доказів того, що хто-небудь використав Spectre або Meltdown для доступу до уразливих систем. Але тепер, коли інформація про ці недоліки широко відома, це може змінитися.
Linux, Android, MacOS від Apple і Windows 10 від Microsoft вже внесли виправлення для вирішення цих нових проблем безпеки. Таким чином, кращий спосіб дій - забезпечити, щоб всі ваші пристрої використовували останню версію своєї операційної системи.
Література: NYTimes - Tech, Meltdown
