ב-10 ביוני 2022, מעבדת מדעי המחשב והבינה המלאכותית של MIT (CSAIL) פרסמה דוח המתאר פגם שלא ניתן לתיקון בשבב M1 הפופולרי של אפל. נמצא במיליוני מחשבי MacBook, iMac ו-iPad ברחבי העולם, שבב Apple M1 היה חלק מכריע מהמערכת האקולוגית של החברה מאז 2020.
אבל מה פירושה של פגיעות זו, והאם מכשירי Apple שלך בטוחים?
חוקרי MIT מגלים פגיעות של שבב Apple M1 שלא ניתן לתיקון
למכשירי אפל יש כמה קווי הגנה כדי למנוע מאפליקציות להפעיל קוד זדוני. ההגנה האחרונה היא מנגנון ה-Pointer Authentication של שבב M1, כלי חומרה שנועד לזהות שינויים בקוד התוכנה.
אימות מצביע פועל על ידי יצירת חתימות קריפטוגרפיות הנקראות קודי אימות מצביע (PAC). כאשר תוכנה פועלת, שבב M1 בודק את ה-PAC שאוחסן כדי לוודא שהוא תואם לקוד שמציגה התוכנה. התוכנה תקרוס אם האימות ייכשל, מה שמספק רשת ביטחון מצוינת לצד אבטחת תוכנה.
האם פגם שבב Apple M1 מסוכן?
פגיעות זו, שנקראה PACMAN על ידי חוקרי MIT שגילו אותה, מנצלת את מערכת ה-PAC של שבב M1 על ידי ניחוש ה-PAC עבור פיסת תוכנה. ניתן להשיג זאת עם ערוץ צדדי של חומרה שאיפשר לחוקרים לעבור על כל ערכי אימות המצביעים האפשריים עד שהם מצאו את הניחוש הנכון.
למרבה הצער, מכיוון שזוהי פגיעות חומרה ולא תוכנה, אפל יכולה לעשות מעט כדי לפתור את הבעיה מלבד החזרת מכשירים. זו תהיה בעיה הרבה יותר גדולה אם לא היו קווי ההגנה האחרים שיש למכשירי אפל.
מתקפת PACMAN תצליח רק אם כבר קיימת פגיעות תוכנה במערכת, משהו שאפל לוקחת ברצינות רבה.
למרות זאת, יהיה זה שגוי לומר ש-PACMAN אינו מזיק. אם PACMAN יתרגל לעקוף את אימות המצביע במכשיר, לא יישאר דבר שיעצור את התוקף להשתלט עליו באופן מוחלט. זוהי מחשבה מדאיגה כאשר בוחנים את מספר המכשירים המצוידים ב-M1 שנמכרו במהלך השנים האחרונות.
ההשפעה של פגיעות שבב M1 של אפל
ה-Apple M1 Chip הוא ספינת הדגל של החברה מאז 2020 והוא אמור להיות מוחלף רק ביולי 2022. המשמעות היא שלכל מכשירי ה-MacBook, iMacs וה-iPad של Apple שנמכרו מאז 2020 עם שבב M1 יש את הפגיעות שגילתה MIT. זהו סיכוי מרתיע עבור הצרכנים, אם כי ארגונים עומדים בפני סיכונים ניכרים יותר.
יותר מ-23% מהמשתמשים הארגוניים בארה"ב משתמשים במכשירי אפל ב-2022, בניגוד מוחלט לשוק שמיקרוסופט שלטה בו פעם. עסקים וארגונים גדולים אחרים הם קורבנות נוחים לתוקפים, שכן הרשתות הפנימיות הגדולות שלהם מאפשרות לבצע התקפות בהיקף גדול יותר.
קשה יותר גם להימנע מפרצות תוכנה בסביבות כאלה, במיוחד כשמדובר בעדכוני אבטחה.
מעבדי אפל ו-ARM עתידיים
בעוד שהרעיון של פגיעות בקנה מידה רחב של אפל יכול להישמע מפחיד, חוקרי MIT CSAIL הבהירו שהחששות שלהם נוגעים לחומרה עתידית. גם מעבדי אפל וגם ARM משתמשים ב-Pointer Authentication לאבטחה, שאמורה להימשך גם בעתיד.
ככל שיותר מכשירים עם אימות מצביע ייצאו לשוק, הסיכון לשימוש בניצולים כמו זה רק יגדל. למרבה המזל, גם אפל וגם ARM אמרו הצהרות כדי להראות שהם מודעים לבעיה וחוקרים מוצרים מושפעים כדי להבטיח שהם מאובטחים.
פגיעות שבב M1 של אפל: האם המכשירים שלך בטוחים?
בקיצור, כן. המכשירים שלך בטוחים כרגע. לא ניתן לעצור את הניצול של PACMAN, מכיוון שהבעיה אפויה בשבב M1, אבל זה לא אומר שהאייפד או ה-MacBook שלך יפסיקו לעבוד. PACMAN היא בעיה רק אם קיימות פרצות תוכנה המאפשרות לניצול לעבוד. זה לא סביר שיתרחש אלא אם משתמשים יעשו טעויות.
הגנה על מכשירי Apple שלך מפני PACMAN ואיומים אחרים
מכשירי אפל ידועים כקלים לשימוש. זה משתרע על אבטחה ברחבי המערכת האקולוגית, אבל כדאי לנקוט בצעדים כדי לשמור על אבטחת המחשב או הטאבלט שלך.
עדכן את מערכת ההפעלה והתוכנה שלך
פרצות תוכנה חדשות מתגלות כל הזמן, וחברות כמו אפל מוציאות עדכוני מערכת הפעלה ותוכנה רגילים כדי להישאר מעודכנים. זה יעיל רק אם אתה מתקין את העדכונים עבור מכשירי Apple שלך. אם אינך בטוח כיצד לעדכן את המכשירים שלך, הנה ההסבר המקיף שלנו מדריך לעדכון התוכנה ומערכת ההפעלה של ה-Mac.
השתמש ב-App Store
מחשבי MacBook, iPad ו-iMacs מצוידים ב-Apple App Store. לחברה מגוון תקני אבטחה ואיכות שתוכנה חייבת לעמוד בהם לפני שהיא נכנסת לחנות. זה יוצר סביבה בטוחה למשתמשים למצוא את התוכנה שבה הם רוצים להשתמש. הימנעות ממקורות תוכנה חיצוניים היא דרך קלה להבטיח שמכשיר Apple שלך מאובטח.
יצירת גיבויים רגילים
זה לא יגרום למכשירים שלך להיות חסינים מפני PACMAN או איומי סייבר אחרים, אבל זה מאפשר לך לעמוד על הרגליים במהירות אם המחשב שלך ייפגע אי פעם. אתה חייב ללמוד כיצד להשתמש במכונת הזמן אפליקציה במכשירי Apple שלך כדי ליצור גיבויים לשחזור.
אפל M1 שבב לא ניתן לתיקון
יש להתייחס ברצינות לכל פגיעות חומרה, במיוחד עם רכיבים נפוצים כמו ה-M1 SoC של אפל. אפל, ARM, MIT וקבוצות אחרות עובדות על מחקר פגם PACMAN כדי להבטיח שהוא לא יחזור לנשוך אותנו בעתיד.
תוכל ללמוד עוד על ממצאי MIT ב-18 ביוני בסימפוזיון הבינלאומי לארכיטקטורת מחשבים.
