Οι επεξεργαστές των Intel, AMD και άλλων εταιρείων περιέχουν ένα κενό ασφάλειας που ανακαλύφθηκε πρόσφατα
Με αυτό τον τρόπο, μπορούν κακόβουλοι χρήστες να εκμεταλλευτούν για να αποκτήσουν κρυπτογραφικά κλειδιά και άλλα μυστικά δεδομένα που μεταφέρονται μέσω του υλικού, δήλωσαν ερευνητές την Τρίτη.
Οι κατασκευαστές υλικού γνώριζαν από καιρό ότι οι χάκερ μπορούν να εξάγουν μυστικά κρυπτογραφικά δεδομένα από ένα τσιπ μετρώντας την ισχύ που καταναλώνει κατά την επεξεργασία αυτών των τιμών. Ευτυχώς, τα μέσα για την εκμετάλλευση επιθέσεων ανάλυσης ισχύος κατά μικροεπεξεργαστών είναι περιορισμένα επειδή ο παράγοντας απειλής έχει λίγους βιώσιμους τρόπους για να μετρήσει εξ αποστάσεως την κατανάλωση ενέργειας κατά την επεξεργασία των κρυπτογραφημένων δεδομένων. Τώρα, μια ομάδα ερευνητών έχει βρει πώς να μετατρέψει τις επιθέσεις ανάλυσης ισχύος σε μια διαφορετική κατηγορία εκμετάλλευσης πλευρικών καναλιών που είναι πολύ λιγότερο απαιτητική.
Η ομάδα ανακάλυψε ότι η δυναμική κλιμάκωση τάσης και συχνότητας (DVFS) — μια δυνατότητα διαχείρισης ισχύος και θερμότητας που προστίθεται σε κάθε σύγχρονη CPU — επιτρέπει στους εισβολείς να υπολογίσουν τις αλλαγές στην κατανάλωση ενέργειας παρακολουθώντας προσεκτικά τον χρόνο που χρειάζεται για να ανταποκριθεί ένας διακομιστής σε συγκεκριμένα ερωτήματα. Η ανακάλυψη μειώνει σημαντικά το χρόνο που απαιτείται.
Με την κατανόηση του τρόπου λειτουργίας της δυνατότητας DVFS, οι επιθέσεις πλευρικού καναλιού ισχύος γίνονται πολύ απλούστερες επιθέσεις που μπορούν να γίνουν εξ αποστάσεως. Οι ερευνητές ονόμασαν την επίθεσή τους Hertzbleed επειδή χρησιμοποιεί τις πληροφορίες για το DVFS για να εκθέσει – ή να κλέψει- δεδομένα που αναμένεται να παραμείνουν ιδιωτικά.
Η ευπάθεια παρακολουθείται ως CVE-2022-24436 για τσιπ Intel και CVE-2022-23823 για επεξεργαστές AMD. Οι ερευνητές έχουν ήδη δείξει πώς η τεχνική εκμετάλλευσης που ανέπτυξαν μπορεί να χρησιμοποιηθεί για την εξαγωγή ενός κλειδιού κρυπτογράφησης από έναν διακομιστή που εκτελεί το SIKE, έναν κρυπτογραφικό αλγόριθμο που χρησιμοποιείται για τη δημιουργία ενός μυστικού κλειδιού μεταξύ δύο μερών μέσω ενός κατά τα άλλα μη ασφαλούς καναλιού επικοινωνίας.
Μην ξεχάσετε να ακολουθήσετε το Xiaomi-miui.gr στο Google News για να ενημερώνεστε αμέσως για όλα τα νέα άρθρα μας ! Μπορείτε επίσης αν χρησιμοποιείτε RSS reader, να προσθέσετε την σελίδα μας στη λίστα σας, ακολουθώντας απλά αυτό τον σύνδεσμο >> https://news.xiaomi-miui.gr/feed/gn
Ακολουθήστε μας και στο Telegram ώστε να μαθαίνετε από τους πρώτους την κάθε μας είδηση!
