©

Плохие новости: уязвимость Spectre с нами надолго

Плохие новости: уязвимость Spectre с нами надолго
Фото: Lifehacker Australia

На днях Саймон Сегарс (глава компании-производителя комплектующих для смартфонов) признал наличие уязвимости в большинстве мобильных чипов и сложность ее ликвидации. Чипы, производимые ARM Holdings, ставят под сомнение безопасность огромного количества девайсов по всему миру.

Саймон Сегарс (фото: The Independent)
Реальность такова, что мы не можем быть уверены ни в одном устройстве, даже в том, безопасность которого не вызывала сомнений многие годы. Кто-то всегда может получить информацию из системы и использовать ее в своих интересах.

Напомним, что в январе этого года стало известно об уязвимости, обнаруженной в большинстве современных процессоров, которая делала компьютеры или смартфоны “открытыми” для хакерских атак. Как оказалось, особенность в архитектуре чипов от Intel, ARM и других производителей позволяет хакерам получить доступ к личным данным из памяти вашего устройства.

Главная проблема заключается в том, что в “группу риска” попадают процессоры, выпущенные за два последних десятилетия: из них хакеры могут выуживать пароли, ключи шифрования и другую конфиденциальную информацию, сохраняемую в приложениях.

Особенно огорчает то, что уязвимости, известные как Specter и Meltdown, не уникальны, то есть не “работают” с каким-то конкретным чипом или устройством. Они способны взаимодействовать с любым девайсом: от смартфонов и ПК до серверного оборудования. Компьютерная индустрия отчаянно пытается найти пути решения проблемы, выпуская обновления для операционных систем, веб-браузеров, служб облачных вычислений и других баз данных, которые требуют повышенной безопасности.

Никто даже и представить не мог ничего подобного ранее. Как и другие открытия, дефекты стали очевидны лишь после того, как были обнаружены! – заявил Сегарс.

6 миллиардов чипов

ARM – британская компания, технологии которой используются для производства большинства мобильных процессоров, используемых в мире, в том числе компаниями Apple и Samsung. В середине 2016 года ARM выкупил японский телекоммуникационный гигант SoftBank почти за $32 млрд. С момента основания компания продала более 120 млрд чипов.

Из 120 миллиардов чипсетов, проданных с момента основания, 5% (около 6 млрд) уязвимы перед Spectre, – сказал Сегарс.

На прошлой неделе Apple заявила, что все устройства на iOS (которые используют чипы на базе архитектуры процессора ARM) и компьютеры Mac (которые используют чипы Intel) также имеют уязвимости безопасности.

В своем заявлении Qualcomm (еще один “пользователь” ARM) сказала, что знает об уязвимостях в работе ARM, и активно сотрудничает с другими компаниями, чтобы оценить масштабы проблемы и устранить изъяны в кратчайшие сроки.

Мы активно ищем пути, чтобы минимизировать уязвимость наших продуктов, и продолжаем работать над укреплением безопасности, поэтому настоятельно рекомендуем своим клиентам регулярно обновлять программное обеспечение на своих устройствах! – призывают в Qualcomm.

Существует еще один процессор на основе ARM, который может быть уязвим перед Meltdown, но "он настолько новый, что еще не был установлен ни на одно устройство", сообщил Сегарс. Правда, он не уточнил, для какого производителя чипов и для какого именно устройства разрабатывалась архитектура.

Движущаяся мишень

Еще в октябре, на конференции ARM, Сегарс сказал, что "кибербезопасность находится в беспорядке", и что критически важно что-то менять, поскольку искусственный интеллект и Интернет вещей развиваются все активнее. В подобных условиях устройства должны быть защищены не только по средствам программного обеспечения, но и через свое оборудование.

Что касается программной архитектуры, уязвимой перед Spectre и Meltdown, то по словам Сегарса, в ближайшее время компании-партнеры не смогут найти альтернативу для своих устройств. Количество “уязвимых” чипов настолько велико, что лишает возможности оперативно решить проблему.

В конечном итоге мы создадим систему, представляющую собой комбинацию программного и аппаратного обеспечения. Она будет тестироваться и совершенствоваться до тех пор, пока мы не убедимся, что предусмотрели все риски! сказал Сегарс.

В ARM еще не нашли оптимального решения по изменению архитектуры и программного обеспечения, чтобы эффективно противостоять подобным уязвимостям в будущем. По словам Сегарса, наряду с внесением изменений в технологию производства, компания будет наращивать штат и тратить больше времени на изучение потенциальных угроз.

Что касается того, почему ARM самостоятельно не выявила уязвимости, а узнала о них в результате проверки безопасности, Сегарс ответил:

Это показывает, что безопасность в мире – как движущаяся мишень: когда вам кажется, что все под контролем, мишень смещается или происходит что-то еще!

Источник: cnet.com

Один хлопок? Или же бурные овации? Хлопая больше или меньше, вы показываете, какой пост действительно чего-то стоит.
Комментарии