Logo iw.androidermagazine.com
Logo iw.androidermagazine.com
» עזרה וכיצד
עזרה וכיצד

Meltdown hack and specter bug: כיצד זה משפיע על משתמשי אנדרואיד וכרום

Meltdown hack and specter bug: כיצד זה משפיע על משתמשי אנדרואיד וכרום

תוכן עניינים:

Anonim

אולי שמעת שהשמיים נפלו והאפוקליפסה הביטחונית התרחשה בגלל שתי פיגועים חדשים בשם Meltdown and Spectre. אם אתה עובד בתחום ה- IT או בכל תחום אחר בתשתית מחשבים רחבת היקף, סביר להניח שאתה מרגיש שיש לו, וכבר מצפה לימי החופשה שלך בשנת 2018.

כלי תקשורת שמעו לראשונה שמועות על אם-לכול-עלויות אלה בסוף 2017, והדיווחים האחרונים היו ספקולטיביים בפראות ובסופו של דבר אילצו חברות כמו מיקרוסופט, אמזון וגוגל (שצוות פרויקט אפס שלה גילה את כל העניין) להגיב בפרטים. הפרטים האלה עשו קריאה מעניינת אם אתה מעוניין בסוג כזה.

אבל עבור כולם, לא משנה באיזה טלפון או מחשב אתה משתמש, הרבה ממה שאתה קורא או שומע עשוי להישמע כאילו זה בשפה אחרת. זה מכיוון שכך, ולמלא שאתה דובר בשפה דיגיטלית-ביטחת-ביטחון-טכנית, ייתכן שתצטרך להעביר את זה דרך מתרגם מסוג כלשהו.

חדשות טובות! גילית את המתרגם הזה, והנה מה שאתה צריך לדעת על Meltdown ו- Spectre, ומה שאתה צריך לעשות בקשר לזה.

מה שהם

Meltdown ו- Specter הם שני דברים שונים, אך מכיוון שהם נחשפו במקביל ושניהם עוסקים בארכיטקטורת המעבד ברמה החומרה, מדברים עליהם ביחד. הטלפון בו אתה משתמש כרגע מושפע כמעט בוודאות מהניצול של ספקטר, אך איש לא מצא דרך להשתמש בו - עדיין.

המעבד שבתוך הטלפון שלך קובע עד כמה הוא פגיע לסוגים אלה של ניצולים, אך בטוח יותר להניח שכולם משפיעים עליך אם אינך בטוח. ומכיוון שהם לא מנצלים באג ובמקום זאת משתמשים בתהליך שאמור לקרות, אין תיקון קל ללא עדכון תוכנה.

התבונן בטלפון שבידייך; זה פגיע לכמה מההתקפות האלה.

מחשבים (זה כולל גם טלפונים ומחשבים זעירים אחרים) מסתמכים על מה שמכונה בידוד זיכרון לצורך אבטחה בין יישומים. לא הזיכרון שמשמש לאחסון נתונים לטווח הארוך, אלא הזיכרון שמשמש חומרה ותוכנה בזמן שהכל עובד בזמן אמת. תהליכים מאחסנים נתונים בנפרד מתהליכים אחרים, כך שאף תהליך אחר לא יודע איפה ומתי הוא נכתב או נקרא.

האפליקציות והשירותים הפועלים בטלפון שלך כולם רוצים שהמעבד יעשה קצת עבודה והם כל הזמן נותנים לו רשימה של דברים שהם צריכים לחשב. המעבד לא מבצע את המשימות הללו לפי הסדר שמתקבל - פירוש הדבר שחלקים ממעבד העבודה יהיו במצב סרק ומחכים לחלקים אחרים שיסתיים, כך שניתן יהיה לבצע שלב שני לאחר סיום שלב ראשון. במקום זאת, המעבד יכול להתקדם לשלב שלוש או לשלב ארבע ולעשות אותם לפני הזמן. זה נקרא ביצוע לא-בסדר-הסדר וכל המעבדים המודרניים עובדים כך.

Meltdown ו- Specter לא מנצלים באג - הם תוקפים את האופן שבו מעבד מחשב נתונים.

מכיוון שמעבד מהיר יותר מכל תוכנה שיכולה להיות, הוא גם עושה ניחושים. ביצוע ספקולטיבי הוא כאשר המעבד מבצע חישוב שעוד לא התבקש לבצע על סמך חישובים קודמים שהוא התבקש לבצע. חלק ממיטוב התוכנה לביצועי מעבד טובים יותר הוא ביצוע מספר כללים והוראות. משמעות הדבר היא כי לרוב ישנה זרימת עבודה רגילה שתעבור אחריה ומעבד יכול לדלג קדימה כדי שיהיו נתונים מוכנים כאשר התוכנה מבקשת זאת. ומכיוון שהם כל כך מהירים, אם לא היה צורך בנתונים בסופו של דבר, הם זורקים הצידה. זה עדיין מהיר יותר מאשר לחכות לבקשה לביצוע חישוב.

ביצוע ספקולטיבי זה הוא המאפשר גם ל- Meltdown וגם ל- Spectre לגשת לנתונים שאחרת לא היו מסוגלים להגיע אליהם, אם כי הם עושים זאת בדרכים שונות.

התכה

מעבדי אינטל, מעבדי סדרת A החדשים של אפל ומעבדי SoC אחרים של ARM המשתמשים בליבת A75 החדשה (לעת עתה זה רק Qualcomm Snapdragon 845) חשופים לניצול Meltdown.

Meltdown ממנף את מה שמכונה "פגם בהסלמת הרשאות" המעניק לאפליקציה גישה לזיכרון הגלעין. המשמעות היא שלכל קוד שיכול לקבל גישה לאזור זיכרון זה - שבו התקשורת בין הגרעין למעבד מתרחשת - יש בעצם גישה לכל מה שהוא צריך כדי לבצע קוד כלשהו במערכת. כאשר אתה יכול להריץ קוד כלשהו, ​​יש לך גישה לכל הנתונים.

ספקטרום

ספקטרום משפיע כמעט על כל מעבד מודרני, כולל זה שבטלפון שלך.

ספקטר אינו צריך למצוא דרך להפעיל קוד במחשב שלך מכיוון שהוא יכול "להערים" על המעבד להוראות ביצוע עבורו ואז להעניק גישה לנתונים מיישומים אחרים. פירוש הדבר שמנצל יכול לראות מה אפליקציות אחרות עושות ולקרוא את הנתונים שאחסנו. האופן שבו מעבד מעבד הוראות לא בסדר בסדר בסניפים הוא המקום בו ספקטר תוקף.

גם Meltdown וגם Specter מסוגלים לחשוף נתונים שצריך לארגז חול. הם עושים זאת ברמת החומרה, כך שמערכת ההפעלה שלך לא הופכת אותך לחסינה - אפל, גוגל, מיקרוסופט, וכל מיני מערכות הפעלה Unix ולינוקס עם קוד פתוח מושפעים באותה מידה.

בגלל טכניקה שנקראת תזמון דינאמי המאפשר לקרוא נתונים בזמן שהם מחשוב במקום שיהיה צורך לאחסן אותם קודם, יש המון מידע רגיש ב- RAM לצורך התקפה לקריאה. אם אתם מעוניינים בדברים מסוג זה, ניירות הלבן שפרסמו אוניברסיטת גראץ לטכנולוגיה הם קריאות מרתקות. אך אינך צריך לקרוא או להבין אותם כדי להגן על עצמך.

האם אני מושפע?

כן. לפחות היית. בעיקרון כולם הושפעו עד שהחברות החלו לטעון את התוכנה שלהן נגד התקפות אלה.

התוכנה שצריכה לעדכן נמצאת במערכת ההפעלה, כך שמשמעות הדבר היא שאתה צריך תיקון של אפל, גוגל או מיקרוסופט. (אם אתה משתמש במחשב שמריץ לינוקס ואיננו נכנס ל- infosec, יש לך כבר את התיקון. השתמש בעדכון התוכנה שלך כדי להתקין אותו או בקש מחבר שנמצא באינפוסק להעביר אותך דרך עדכון הגרעין שלך). החדשות המדהימות הן שאפל, גוגל ומיקרוסופט טלאים שכבר פרוסים או בדרכם בעתיד המיידי עבור גרסאות נתמכות.

הפרטים

  • מעבדי אינטל מאז 1995 למעט פלטפורמת Itanium ו- ATOM לפני 2013 מושפעים הן ממלטדאון והן מספקטר.
  • כל מעבדי AMD המודרניים מושפעים מההתקפה של ספקטר. AMD PRO ו- AMD FX (AMD 9600 R7 ו- AMD FX-8320 שימשו כהוכחת קונספט) מעבד בתצורה לא סטנדרטית (מאפשרת גרעין BPF JIT) מושפעים מה- Meltdown. זה צפוי להתקפה דומה נגד קריאת זיכרון בצד הערוץ אפשרית נגד כל המעבדים של 64 סיביות כולל מעבדי AMD.
  • מעבדי ARM עם ליבות Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 ו- A75 חשודים כמתקפות ספקטר. מעבדים עם ליבות Cortex A75 (Snapdragon 845) חשופים להתקפות Meltdown. יש לצפות כי לשבבים המשתמשים בגרסאות של ליבות אלה, כמו קו Snapdragon של קוואלקום או קו Exynos של סמסונג, יהיו גם פגיעויות דומות או זהות. קוואלקום עובדת ישירות עם ARM והצהרה זו בנושאים:

Qualcomm Technologies, Inc. מודעת למחקר האבטחה על פגיעויות מעבד כוללות שדווחו. אספקת טכנולוגיות התומכות באבטחה ופרטיות חזקות היא בראש סדר העדיפויות של קוואלקום, וככזו, אנו עובדים עם Arm ואחרים בכדי להעריך את ההשפעה ולפתח הקלות עבור הלקוחות שלנו. אנו משלבים ומפרסים באופן אקטיבי מקלות נגד הפגיעויות במוצרים המושפעים שלנו, ואנחנו ממשיכים לפעול לחיזוקם ככל האפשר. אנו נמצאים בתהליך של פריסת ההקלות הללו ללקוחותינו ומעודדים אנשים לעדכן את המכשירים שלהם כאשר התיקונים יהיו זמינים.

  • NVIDIA קבעה כי מעלולים אלה (או ניצולים דומים אחרים שעלולים להתעורר) אינם משפיעים על מחשוב ה- GPU, ולכן החומרה שלהם בעיקר חסינה. הם יעבדו עם חברות אחרות כדי לעדכן מנהלי התקנים שיסייעו במתן בעיות בביצועי מעבד, והם בוחנים את ה- SoCs המבוססים על ARM (Tegra).

  • ל- Webkit, האנשים שמאחורי מנוע טיוח הדפדפנים של ספארי והקודם למנוע ה- Blink של גוגל, יש פירוט מצוין של איך בדיוק ההתקפות הללו יכולות להשפיע על הקוד שלהן. חלק גדול ממנו היה חל על כל מתורגמן או מהדר וזה קריאה מדהימה. ראה כיצד הם עובדים כדי לתקן את זה ולמנוע את התרחשותו בפעם הבאה.

באנגלית רגילה, משמעות הדבר היא כי אלא אם אתה עדיין משתמש בטלפון, טאבלט או מחשב ישנים מאוד, עליך לראות את עצמך פגיע ללא עדכון למערכת ההפעלה. הנה מה שאנחנו יודעים עד כה בחזית ההיא:

  • גוגל תיקנה את אנדרואיד נגד התקפות Spectre וגם של Meltdown באמצעות התיקונים בדצמבר 2017 ובינואר 2018.
  • גוגל טלאה מחשבי Chromebook באמצעות גרסאות 3.18 ו- 4.4 של הגרעין בדצמבר 2017 עם מערכת ההפעלה 63. התקנים עם גרסאות אחרות של הגרעין (חפש כאן כדי למצוא את שלך) יתוקנו בקרוב. באנגלית רגילה: Toshiba Chromebook, Acer C720, Dell Chromebook 13 ופיקסלים של Chromebook משנת 2013 ו- 2015 (וכמה שמות שבטח מעולם לא שמעת עליהם) טרם טופלו אך בקרוב. רוב תיבות Chromebases, Chromebases ו- Chromebits אינם מתוקנים אך הם בקרוב.
  • במכשירי מערכת ההפעלה של Chrome שלא טופלו, תכונת אבטחה חדשה בשם בידוד אתרים תקל בכל בעיה מההתקפות הללו.
  • מיקרוסופט טפחה על שני הניצולים החל מינואר 2018.
  • אפל תיקנה macOS ו- iOS נגד Meltdown החל מהעדכון בדצמבר. סבב העדכונים הראשון של ספקטר נדחק בתחילת ינואר. עיין ב- iMore עבור כל מה שאתה צריך לדעת על פגמים במעבד אלה וכיצד הם משפיעים על ה- Mac, iPad ו- iPhone שלך.
  • טלאים נשלחו לכל הגרסאות הנתמכות של גרעין לינוקס, וניתן לעדכן מערכות הפעלה כמו אובונטו או רד האט באמצעות יישום עדכון התוכנה.

למידע על אנדרואיד, Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2 ו- Pixel 2 XL טופלו ועליך לראות עדכון בקרוב אם עדיין לא קיבלת אותו. אתה יכול גם לעדכן ידנית מכשירים אלה אם תרצה. פרויקט קוד הפתוח של אנדרואיד (הקוד המשמש לבניית מערכת ההפעלה לכל טלפון אנדרואיד) תוקן וכן ניתן לעדכן הפצות של צד שלישי כמו LineageOS.

כיצד לעדכן ידנית את ה- Pixel או Nexus

סמסונג, LG, מוטורולה וספקי אנדרואיד אחרים (חברות שמייצרות טלפונים וטאבלטים וטלוויזיות) יתוקנו את מוצריהם בעדכון ינואר 2018. חלקם, כמו ה- Note 8 או Galaxy S8, יראו זאת לפני אחרים, אך גוגל העמידה את התיקון לכל המכשירים. אנו מצפים לראות חדשות נוספות מכל השותפים כדי ליידע אותנו למה לצפות ומתי.

מה אני יכול לעשות?

אם יש לך מוצר פגיע, קל להיקלע להייפ, אך לא כדאי לך. גם ספקטר וגם Meltdown אינם "פשוט קורים" ותלויים בהתקנת תוכנות זדוניות מסוג כלשהו שממנפות אותם. ביצוע מספר שיטות בטוחות ישמור על עצמך חסין מפני ניצול כלשהו בכל חומרת מחשב.

  • התקן רק תוכנה שאתה סומך עליה ממקום שאתה סומך עליו. זה תמיד רעיון טוב, אבל במיוחד אם אתה מחכה לתיקון.
  • אבטח את המכשירים שלך באמצעות מסך נעילה והצפנה טובים. זה עושה יותר מאשר רק להרחיק אדם אחר, שכן יישומים לא יכולים לעשות כלום בזמן שהטלפון שלך נעול ללא רשותך.
  • קרא והבין את ההרשאות בכל מה שאתה מפעיל או מתקין בטלפון שלך. אל תפחד לבקש עזרה כאן!
  • השתמש בדפדפן אינטרנט החוסם תוכנות זדוניות. אנו יכולים להמליץ ​​על Chrome או Firefox, ודפדפנים אחרים עשויים גם להגן עליך מפני תוכנות זדוניות מבוססות אינטרנט. שאל את האנשים שעושים ומפיצים אותם אם אינך בטוח. ייתכן כי דפדפן האינטרנט שהגיע עם הטלפון אינו האפשרות הטובה ביותר כאן, במיוחד אם יש לך דגם ישן יותר. Edge ו- Safari מהימנים גם עבור התקני Windows או MacOS ו- iOS.
  • אל תפתחו קישורים במדיה החברתית, באימייל או בשום הודעה ממישהו שאינו מכיר. גם אם הם מאנשים שאתה מכיר, וודא שאתה סומך על דפדפן האינטרנט שלך לפני שאתה לוחץ או מקיש עליו. זה כפול עבור קישורים לניתוב שמסווה כתובת אתר. אנו משתמשים בקישורים מסוג זה לעתים קרובות למדי והסיכוי לכך שגם הרבה מדיות מקוונות שאתה קורא עושה. הזהר.
  • אל תהיה טיפש. אתה יודע מה זה אומר לך. סמוך על שיקול דעתך וטעה בצד הזהירות.

החדשות הטובות הן כי הדרך בה מטופלים על ניצולי הערוצים הצדדיים הללו לא תביא את ההאטות העצומות שהופקו לפני פרסום עדכונים. זה בדיוק איך שהאינטרנט עובד, ואם תקרא על האופן בו הטלפון או המחשב שלך יאטו 30% יותר לאחר שיושם כל תיקון, הסיבה לכך היא שהסנסציוניות מוכרת. משתמשים שמפעילים תוכנה מעודכנת (שהיו במהלך הבדיקה) פשוט לא רואים אותה.

לתיקון אין את ההשפעה על הביצועים שחלק טענו שהוא יביא, וזה דבר נהדר.

כל זה קרה מכיוון שתקיפות אלו מודדות פרקי זמן מדויקים והתיקונים הראשוניים משנים או מבטלים את הדיוק של כמה מקורות תזמון באמצעות תוכנה. פירושו של פחות מדויק פירושו לאט יותר כשאתם מחשבים וההשפעה מוגזמת להיות גדולה בהרבה מכפי שהיא. אפילו הביצועים הקלים פוחתים כתוצאה מהטלאים מתקלים על ידי חברות אחרות ואנחנו רואים NVIDIA מעדכן את האופן שבו מספרי ה- GPU שלהם מתפצלים או את Mozilla עובדים על הדרך שבה הם מחשבים נתונים כדי להפוך אותם למהירים עוד יותר. הטלפון שלך לא יהיה איטי יותר בתיקון ינואר 2018 וגם המחשב שלך לא יהיה אלא אם הוא ישן מאוד, לפחות לא בצורה בולטת.

תפסיק לדאוג לגבי זה ובמקום זאת דאג לעשות כל שביכולתך כדי לשמור על הנתונים שלך בטוחים.

מה לקחת מכל זה

להפחיות אבטחה תמיד יש השפעה אמיתית כלשהי. איש לא ראה מקרים בהם השימוש ב- Meltdown או Specter נעשה בטבע, ומכיוון שרוב המכשירים בהם אנו משתמשים מדי יום מתעדכנים או יתקיימו בקרוב מאוד, ככל הנראה הדיווחים יישארו כך. אבל זה לא אומר שיש להתעלם מהם.

התייחס לאיומי אבטחה כאלה ברצינות אך אל תיפול לכל ההייפ; להיות מיודע!

לניצולי הערוצים הצדדיים הללו היה פוטנציאל להיות אותו אירוע גדול ומשמעותי שמשנה משחקים שאנשים דואגים בכל הקשור לביטחון ברשת. כל ניצול שמשפיע על חומרה הוא חמור, וכשהוא תוקף משהו שנעשה בכוונה במקום באג הוא הופך לחמור עוד יותר. למרבה המזל, החוקרים והמפתחים הצליחו לתפוס, להכיל ולתקן את Meltdown and Spectre לפני שקרה כל שימוש נרחב.

מה שבאמת חשוב כאן זה שתקבלו את המידע הנכון כדי שתדעו מה לעשות בכל פעם שתשמעו על סכנת רשת חדשה שרוצה את כל הדברים הדיגיטליים שלכם. בדרך כלל יש דרך רציונלית למתן את ההשפעה החמורה ברגע שאתה חולף על פני כל הכותרות.

להישאר בטוח!

אנו עשויים להרוויח עמלה לרכישות באמצעות הקישורים שלנו. למד עוד.

עזרה וכיצד

בחירת העורכים