Apple Os chips da série M têm uma grave falha de segurança incorporada, e a correção resultará em queda no desempenho

Uma equipe de pesquisadores descobriu uma grave vulnerabilidade de segurança chamada "GoFetch" no famoso silício da série M da Apple. Os pesquisadores criaram um aplicativo também chamado GoFetch, que pode extrair chaves para métodos de criptografia, incluindo chaves RSA de 2048 bits, DH-2048, Kyber-512 e Dilithium-2, em prazos que variam de menos de uma hora a cerca de 10 horas. A falha afeta principalmente os chips baseados em M1 e M2 do Applee explora o que é conhecido como "canal lateral" na forma como os chips executam extrações de chaves de ponta a ponta relacionadas a scripts típicos de segurança, incluindo tarefas de autenticação que exigem chaves de segurança e criptografia.

Apple a Apple Inc. criou uma ferramenta chamada CryptoKit para facilitar aos desenvolvedores a implantação de controles de segurança em seus aplicativos, mas o problema não está no software da Apple, mas na microarquitetura dos chips. Consequentemente, um invasor pode extrair chaves secretas para descriptografar dados. Como a vulnerabilidade está embutida no silício e na maneira como determinadas tarefas de criptografia são tratadas, a única maneira de corrigi-la será o site Apple emitir um patch de software. No entanto, como destaca a Ars Technica, corrigir a falha dessa forma resultará em um impacto significativo no desempenho.

A vulnerabilidade em nível de chip lembra as vulnerabilidades de segurança em nível de silício, como Meltdown e Spectre que afetaram alguns chips da Intel, AMD, IBM e alguns chips baseados em Arm. Em um teste, após a aplicação de um patch para solucionar o Spectre-V2, um chip Intel Core i9-12900K (Alder Lake) teve um impacto no desempenho entre 14,5% e 26,7%. A Apple ainda não respondeu oficialmente às alegações do pesquisador, mas os pesquisadores alertaram a Apple sobre o problema e a correção deve estar próxima, caso a Apple ainda não tenha resolvido o problema.