苹果的M系列芯片的缺陷：加密安全面临新的挑战

[TL; DR]

苹果的一些MacOS版本和iPad平板的M系列芯片存在缺陷。

苹果表示，其MacOS和iPad平板电脑具有强大的安全措施，以防止任何恶意利用。

对于使用苹果的MacOS和iPad平板电脑存在漏洞的加密货币用户，最好将他们的数字资产从中移除。

关键词: 苹果M系列芯片漏洞，无法修复的加密安全漏洞，GoFetch利用苹果，M1和M2芯片安全漏洞，密码软件苹果芯片，提取加密密钥苹果，侧信道利用M系列，苹果芯片安全漏洞，数字威胁macOS，苹果加密漏洞缓解，加密货币骗局，加密货币骗子，加密货币利用

介绍

使用苹果的M1和M2芯片的计算机和iPad的加密货币用户面临安全威胁，可能导致加密货币被盗。因此，这样的加密货币用户应该特别小心保护他们的数字资产。

本文探讨了苹果M系列芯片中的缺陷，以及用户如何减轻它们带来的风险。我们还将讨论苹果电脑和平板用户如何保护他们的数字资产。

发现漏洞

一组研究人员发现了苹果的M系列芯片中的一个严重漏洞，可能会影响其中存储的加密货币等数字资产的安全性。在最近的一份报告中，来自美国多所顶尖大学的学者们解释了加密货币骗子如何能够访问该漏洞。 秘密 通过加密手段从MacBook设备中提取密钥和其他加密数据。

漏洞存在于苹果的M1和M2芯片的微架构中，使得无法使用直接补丁来解决问题。根据 报告，发布于3月21日 漏洞是一种侧链攻击，使黑客能够在苹果芯片运行常见的加密协议时获取MAC的端到端加密密钥。

理解不可修补的本质

如上所示，由于苹果芯片的漏洞根植于微体系结构硅本身，因此无法修补。基本上，系统使用这些芯片中的数据内存相关预取器（DMP）来预测和预加载数据，以及最小化CPU和内存延迟。

然而，由于设计问题，DMP经常错误地将内存内容解释为指针地址，从而导致数据通过侧链泄漏。因此，攻击者可以利用这些预取器错误，通过设计输入，使DMP将其识别为地址，从而导致加密密钥的泄漏。这个过程是一个重要的 GoFetch攻击的方面.

解释这个过程， 研究人员说“我们的关键观点是，尽管DMP只解引用指针，但攻击者可以构造程序输入，以便当这些输入与加密密钥混合时，生成的中间状态可以被设计成只有在密钥满足攻击者选择的谓词时才会看起来像一个指针。”

漏洞无法修复的原因是它存在于苹果的芯片中，而不是其软件。因此，研究人员建议最好的解决方案是制造新的加密软件苹果芯片。或者，需要第三方加密软件来控制苹果M系列芯片的性能，以防止M1和M2芯片的安全漏洞。

GoFetch漏洞解析

GoFetch漏洞是指苹果M系列芯片的漏洞，使黑客能够利用内存访问模式获取加密密钥等敏感数据，这些数据是加密应用程序使用的。在这种情况下，黑客只需要标准用户权限，类似于常规应用程序所需的权限。

阅读更多： 苹果进军元宇宙

澄清一下，通过利用数据内存相关的预取器（DMP）中存在的弱点，黑客利用GoFetch漏洞。基本上，该系统使DMP数据泄漏出核心的缓存。重要的是要理解，当由计算机协议或算法的设计导致关键信息泄漏时，此类侧信道漏洞M系列会发生。

另外，加密密钥提取苹果应用程序可以在与目标密码应用程序运行在相同性能集群上的情况下挖掘秘钥，即使它们在不同的核心上。

再次，GoFetch漏洞苹果应用程序可以在一小时内提取2048位RSA密钥，以及在两小时内提取2048位Diffie-Hellman密钥。另一方面，提取组装Kyber-512密钥所需的数据大约需要54分钟，生成Dilithium-2密钥大约需要10小时。

缓解和性能权衡

首先，这个苹果芯片的漏洞并不像上面的解释所暗示的那样具有威胁性。攻击通常需要很长时间，因为它很难执行。因此，GoFetch漏洞对加密货币用户并没有太大威胁。

其次，攻击者要利用无法修补的加密安全漏洞，首先应在计算机或iPhone上安装恶意应用程序。此外，Apple默认设计为阻止未分配的恶意应用程序可能尝试访问计算机系统。

阅读也: 苹果的元宇宙雄心

数字威胁macOS成功机会非常渺茫的另一个原因是，黑客攻击需要10多个小时才能完成。值得注意的是，在这段漫长的时间里，计算机应该连续运行。这意味着在大约 5 小时后重新启动计算机的个人可能会挫败此类攻击。

由于在不严重影响系统功能的情况下禁用 M1 和 M2 CPU 上的 DMP 是不可能的，因此开发人员可能需要更新软件，以便它可以自动禁用 DMP 或阻止激活依赖于密钥的 DMP。

个人还可以选择在“Icestorm”核心上运行所有的加密代码，因为它们没有DMPs。然而，这可能会严重影响计算机的性能。同时，可能会有苹果的未来更新使其生效，而不需提前通知。

然而，苹果似乎对学者们发现的威胁轻描淡写。它相信，在其任何设备上成功进行加密攻击的机会很小，因为它们系统中已经内置了充足的安全措施。

在 在其社区论坛上，Apple表示“我们要感谢研究人员的合作，因为这个概念验证推动了我们对这些技术的理解。”

阅读更多： 在每台苹果电脑上的比特币白皮书

然后它补充道：“根据我们的分析以及研究人员与我们分享的细节，我们得出结论，这个问题对我们的用户没有立即风险，并且仅仅足以绕过操作系统的安全保护。”

数字安全的更广泛含义

上述研究结果强调了数字资产用户在使用易泄露关键数据（如加密密钥和密码）的 Mac 电脑和 iPad 平板电脑时需要极其警惕，这些关键数据也保护着数字钱包。原因是一旦黑客访问这些信息，他/她就可以窃取您的数字资产。即使通过此过程进行黑客攻击的风险较低，使用这些设备管理数字资产的加密货币用户也不应忽视警告。

iOS和MacOS中最近的安全漏洞增加了安全漏洞的机会

GoFetch漏洞并不是苹果MacOS电脑和iPad平板电脑面临的唯一数字威胁。最近 卡巴斯基报告称，最近苹果发布了几个更新 由于其iOS和macOS设备存在漏洞，可能允许不良行为者窃取敏感数据和数字资产。由于此类漏洞，苹果公司敦促用户更新其设备至iOS 16.4.1和macOS 13.3.1。

实际上，这些设备存在两个威胁，即CVE-2023-28205和CVE-2023-28206，这可能会允许黑客进行零点击攻击。通过这种方式，受害者可能会被引导到钓鱼网站，恶意行为者将使用不同的加密货币骗局诱骗他们，以窃取他们的数字资产。
此外，它还可以自动在设备内安装恶意软件。一旦安装了恶意软件，攻击者将运行某些代码并控制这些设备。

阅读更多： Metamask提醒苹果用户关于iCloud钓鱼攻击

如何保护您的加密货币安全？

如果您将数字资产保存在苹果的Mac或iPad平板电脑上，最好的办法是将其转移到另一台设备上。您可以将其存储在硬件钱包或适合的数字设备上，如Windows PC、Android手机或iPhone。

相关新闻： 在加密货币领域保护您的数字资产

另一个重要的事情是避免安装来自未知开发者和不受信任来源的应用程序。如果您的设备上已经安装了这类应用程序，请立即删除以防止任何加密货币攻击。

最近的提示： 保护你的加密资产的10个步骤

最后，拥有上述设备的苹果用户应始终注意收到的任何恶意软件警报。上述的苹果加密缺陷修复措施以及这些安全措施可能会拯救您免于丢失数字资产。

结论

来自多所美国顶尖大学研究人员的最新学者报告警告称，早期版本的苹果MacOS和iPad平板电脑在其M系列芯片中存在漏洞，可能允许黑客访问加密密钥和密码。然而，只有M1、M2和M3芯片存在此类安全漏洞。加密货币用户最好的做法是将他们的数字资产从这些设备中移除。