蘋果M1芯片驚現(xiàn)“難以修復(fù)”的安全漏洞，大部分Arm處理器或都將存在！

發(fā)布人：旺材芯片時間：2022-06-12 來源：工程師

加入技術(shù)交流群
- 掃碼加入
  和技術(shù)大咖面對面交流
  海量資料庫查詢

6月11日消息，據(jù)Techcrunch、venturebeat等外媒報道，近日，麻省理工學(xué)院（MIT）的研究人員發(fā)現(xiàn)，蘋果的M1芯片存在一個“無法修補(bǔ)”的硬件漏洞，攻擊者可以利用該漏洞突破其最后一道安全防御。

報道稱，該漏洞存在于蘋果M1芯片中使用的硬件級安全機(jī)制中，被稱為“指針身份驗證”（PAC）——這是Arm處理器當(dāng)中廣泛存在的一項硬件安全機(jī)制，它通過使用加密哈希保護(hù)指針來保護(hù)內(nèi)存中的指針完整性，該加密哈希驗證指針無法被修改，系統(tǒng)使用它來驗證程序?qū)κ鼙Ｗo(hù)指針的使用。當(dāng)使用錯誤的PAC時，程序會崩潰。
根據(jù)此前Arm公布的信息顯示，PAC最小化了攻擊面，使得面向返回編程(ROP)漏洞減少了60%以上、面向跳轉(zhuǎn)編程(JOP)漏洞減少了40%以上。如果是同時使用PAC和分支目標(biāo)標(biāo)識符（BTI）這兩個硬件安全機(jī)制的Arm CPU則能夠進(jìn)一步提升安全性，Glibc 中攻擊者可用的小工具數(shù)量減少了約 98%，而代碼大小僅增加了 2% 左右。
不過，麻省理工學(xué)院計算機(jī)科學(xué)和人工智能實驗室（CSAIL）的研究人員Joseph Ravichandran、Weon Taek Na、Jay Lang 和 Mengjia Yan 創(chuàng)造了一種新穎的硬件攻擊方式，它結(jié)合了內(nèi)存損壞和推測執(zhí)行攻擊來回避安全功能。該攻擊表明，指針身份驗證可以不留痕跡地被攻破，并且由于它是一種硬件安全機(jī)制，因此蘋果將無法通過更新M1芯片的軟件補(bǔ)丁來修復(fù)它。

MIT CSAIL研究團(tuán)隊將其攻擊方式稱之為“Pacman”，它通過硬件側(cè)信道攻擊來暴力破解PAC值（由于PAC值只有一定數(shù)量，研究人員可以嘗試所有值以找到正確的值），并抑制崩潰，從而啟動連鎖攻擊，最終構(gòu)建控制流劫持攻擊。
“PAC的大小相對較小，直接的暴力攻擊會導(dǎo)致足夠多的崩潰來檢測惡意行為——更不用說程序重新啟動會導(dǎo)致 PAC 被刷新。但Pacman攻擊的關(guān)鍵在于，使用推測執(zhí)行攻擊，通過微架構(gòu)側(cè)通道秘密泄露PAC驗證結(jié)果，而不會導(dǎo)致崩潰。”該論文解釋道。
在概念驗證中，研究人員證明該攻擊甚至可以針對內(nèi)核（設(shè)備操作系統(tǒng)的軟件核心）起作用，這“對所有啟用指針身份驗證的 Arm 系統(tǒng)的未來安全工作具有重大影響?！盡IT CSAIL的博士生和該研究論文的共同主要作者Joseph Ravichandran說道。
“指針身份驗證背后的想法是，如果所有其他防御方法都失敗了，你仍然可以依靠它來防止攻擊者控制你的系統(tǒng)。” Joseph Ravichandran補(bǔ)充道：“但是，我們已經(jīng)證明，作為最后一道防線的指針身份驗證并不像我們曾經(jīng)認(rèn)為的那樣的安全?！?/span>
到目前為止，蘋果已經(jīng)在其所有基于Arm架構(gòu)的定制芯片上內(nèi)置了PAC功能，包括 M1、M1 Pro 和 M1 Max等。此外，包括高通和三星在內(nèi)的許多其他芯片廠商已經(jīng)宣布或預(yù)計將推出新處理器都將支持該硬件級安全功能。雖然，MIT CSAIL的研究人員表示，尚未對蘋果剛剛發(fā)布的 M2 芯片的進(jìn)行測試攻擊，但該芯片也支持PAC功能。
根據(jù)此前Arm公布的信息顯示，不僅基于Armv8.3/8.6指令集的CPU內(nèi)置了PAC功能，最新的Armv9指令集的CPU同樣也內(nèi)置了PAC功能。

MIT CSAIL的研究人員在研究論文中說：“如果不解決這個問題，我們發(fā)現(xiàn)的這項攻擊方式將在未來幾年影響大多數(shù)移動設(shè)備，甚至可能影響桌面設(shè)備。”
據(jù)介紹，研究人員已經(jīng)向蘋果公司展示了他們的研究結(jié)果。不過，他們也指出，Pacman攻擊并不能繞過 M1 芯片上的所有安全機(jī)制，它只是針對PAC可以防止的現(xiàn)有的漏洞。
Joseph Ravichandran表示：“到目前為止，還沒有使用Pacman創(chuàng)建端到端攻擊，因此沒有直接的擔(dān)憂。Pacman需要一個現(xiàn)有的軟件漏洞才能發(fā)揮作用——攻擊者需要能夠?qū)懭胍绯鰞?nèi)存。攻擊者可以使用現(xiàn)有的漏洞與我們的謂的‘Pacman Gadget’相結(jié)合——受攻擊中的一個代碼序列，允許推測性地使用簽名指針?！?nbsp;
目前，該研究團(tuán)隊已將該問題通知蘋果，并將在 6 月 18 日的計算機(jī)架構(gòu)國際研討會上披露更多細(xì)節(jié)。
在該消息被曝光之后，蘋果公司發(fā)言人 Scott Radcliffe 對外回應(yīng)稱：“我們要感謝研究人員的合作，因為這個概念證明促進(jìn)了我們對這些技術(shù)的理解。根據(jù)我們的分析以及研究人員與我們分享的詳細(xì)信息，我們得出的結(jié)論是，此問題不會對我們的用戶構(gòu)成直接風(fēng)險，并且不足以自行繞過操作系統(tǒng)安全保護(hù)?！?/span>
值得一提的是，Pacman是在蘋果M1芯片中被發(fā)現(xiàn)的第三個漏洞。去年5月，安全研究員赫克托馬丁 (Hector Martin) 發(fā)現(xiàn)了一個名為M1RACLES的漏洞，該漏洞允許兩個應(yīng)用程序秘密交換數(shù)據(jù)。上個月，多個大學(xué)組成的團(tuán)隊又發(fā)現(xiàn)了一個名為 Augury 的漏洞，可導(dǎo)致芯片泄漏靜態(tài)數(shù)據(jù)，不過目前還沒有展示出任何可行的漏洞利用方法。
但是與前兩個漏洞不同的是，Pacman漏洞利用的是M1本身的存在的硬件安全機(jī)制PAC，而且該機(jī)制還廣泛存在于其他Arm架構(gòu)的處理器當(dāng)中，這也使得該漏洞可能將會帶來更大的影響。

編輯：芯智訊-浪客劍資料來源：Techcrunch、venturebeat

*博客內(nèi)容為網(wǎng)友個人發(fā)布，僅代表博主個人觀點(diǎn)，如有侵權(quán)請聯(lián)系工作人員刪除。