Odborníci z Laboratoře počítačové vědy a umělé inteligence při Massachusettském technologickém institutu (MIT) oznámili odhalení nové hardwarové chyby v čipech M1 od Applu. Útok nazvaný PACMAN dokáže překonat ověřování, aniž by zanechal jakékoli stopy. Použitá metoda využívá hardwarový mechanismus, takže problém nelze opravit žádnou softwarovou záplatou.
Útok probíhá přes hardwarový bezpečnostní mechanismus PAC (Pointer Authentication Code), což je (zjednodušeně řečeno) podpis, který potvrzuje, že stav programu nebyl záměrně změněn. Tato funkce výrazně ztěžuje útočníkovi možnost vložení škodlivého kódu do paměti zařízení. Vědci ukázali, že je možné uhodnout hodnotu PAC a ověřit, zda byl odhad správný, nebo ne.
Zákeřný PACMAN
Protože existuje jen určitý počet možných hodnot PAC, je možné vyzkoušet všechny a najít tu správnou. Co je nejdůležitější: protože všechny odhady probíhají v rámci spekulativního provádění, útok nezanechává žádné stopy. Jedná se tak o prolomení poslední linie bezpečnostní ochrany.
„Myšlenka ověřování pomocí PAC spočívá v tom, že pokud selže vše ostatní, můžete se na něj spolehnout a zabránit útočníkům získat kontrolu nad systémem. Ukázali jsme, že PAC jako poslední linie obrany není tak absolutní, jak jsme si dříve mysleli,“ říká postgraduální student elektrotechniky a informatiky Joseph Ravichandran.
Útoky na hardware a software byly v minulosti považovány za dvě rozdílné věci. Mezi viditelné softwarové hrozby patří například pokusy o phishing, šíření malwaru, odepření služby a podobně. Na straně hardwaru patřily mezi bezpečnostní chyby například Spectre a Meltdown z roku 2018, kdy škodlivý kód manipuluje s mikroarchitektonickými strukturami a krade data.
Vědci z MIT chtěli zjistit, čeho by se dalo dosáhnout kombinací těchto dvou metod – vzít něco ze světa softwarového zabezpečení a prolomit funkci určenou k ochraně softwaru pomocí hardwarových útoků. „To je jádro toho, co představuje PACMAN – nový způsob uvažování o tom, jak se v éře Spectre sbližují modely hrozeb,“ říká Ravichandran.
Zneužití nebude jednoduché
PACMAN není zázračný klíč obcházející všechna zabezpečení čipu M1. Může pouze vzít existující chybu, proti které chrání ověřování PAC, a uvolnit její potenciál pro použití při útoku nalezením správného kódu. Podle vědců není důvod k panice, protože PACMAN nemůže ohrozit systém bez existující softwarové chyby.
Ověřování PAC se používá především k ochraně jádra operačního systému, tedy nejprivilegovanější části systému. Útočník, který získá kontrolu nad jádrem, si může v zařízení dělat, co se mu zlíbí. Odborníci ukázali, že útok PACMAN funguje i proti jádru, což může mít „obrovské důsledky pro budoucí práci na zabezpečení všech systémů ARM s povoleným PAC.“
Vědci svou práci představí 18. června na Mezinárodním sympoziu o počítačové architektuře. Zatím netestovali tuto formu útoku na dosud nevydaném čipu M2, který rovněž podporuje uvedenou metodu ověřování.
