«Чипокалипсис» 2018 года затронул не только Windows и Linux, как кое-где говорилось вначале. Устройства с iOS и Android тоже под угрозой. И если сисадмины и грамотные пользователи ПК хоть как-то готовятся к атаке, пусть даже морально, владельцы смартфонов, кажется, не задумываются, что к их паролям и другой информации может быть получен доступ. Как Apple и Google реагируют на самую серьезную уязвимость процессоров за все десятилетия их существования, и что мы можем сделать?





О чем речь


Если кто-то только вышел из спячки и пропустил главную IT-новость 2018 года, отличные обзоры для Meltdown и для Spectre на ГТ сделал Олег Артамонов. Если вкратце, это уязвимости, касающиеся почти всех процессоров, выпущенных за последние двадцать лет (все чипы с ядрами Intel, AMD, ARM). Во время спекулятивного выполнения операций, необходимого для повышения производительности, чип потенциально открывает доступ к данным для тех процессов, которые не должны были их получать.


The Verge проводит аналогию Meltdown c банком:


В центре банка стоит сейф с паролем. Рядом с ним сидит охранник с пистолетом. Если вы входите и открываете сейф, вас убивают. В параллельном измерении вы заходите в банк, и вас убивают, но вы успеваете заглянуть в сейф и выкрикнуть пароль. А в этом измерении вы слышите крик с этим паролем, и получаете доступ к данным. Даже несмотря на то, что этот вы в банк никогда не входили.

Уязвимости Meltdown и Spectre касаются ядер процессора, то есть это проблема железа. Но когда (или если) под них сделают зловреда, доступ к этой уязвимости – а также к вашим паролям и зашифрованной информации – он будет получать через софт. Нового «неуязвимого» железа купить вы не можете, его не существует (исключая совсем старинные телефоны, выпущенные на рубеже веков), поэтому единственный способ обезопасить себя – следить за разработчиками операционных систем и их рекомендациями.



На iOS


Apple выпустила свой ответ в четверг, на следующий же день после того, как журналисты обнародовали информацию о наличии аппаратных уязвимостей в микропроцессорах. Она подтвердила, что все Mac и iOS-устройства затронуты этой проблемой. Пока что работающих эксплойтов нет, но пользователям еще раз рекомендуется скачивать приложения только из доверенных источников (App Store) и не заходить на потенциально опасные сайты – атаки возможны через JavaScript.


Команда исследователей, обнаружившая Meltdown и Spectre, проинформировала всех крупных производителей софта и железа еще в июле, и для Windows 10 в ноябре даже вышел патч, пытающийся уменьшить угрозу. Apple такой патч тоже выпустила – iOS 11.2.1, в декабре. Заплатка призвана бороться с Meltdown, и если вы уже обновили девайс до этой версии (она доступна с декабря), атак с этой стороны можно пока не бояться. Судя по тестам GeekBench 4, JetStream и Speedometer, производительность системы при установке патча не снижается.




Против Spectre защиты пока нет. Но хорошая новость в том, что разработать скрипты для нее злоумышленникам будет на порядок сложнее, даже для приложений, локально работающих на iPhone или iPad. Потенциальный эксплойт может засесть только в браузере с JavaScript (и то только теоретически). Чтобы этому противодействовать, Apple работает над апдейтом для Safari к iOS и macOS. Компания обещает, что замедление скорости работы будет меньше 2,5%.


Apple Watch использует процессор другого типа, и уязвимостям Meltdown и Spectre изначально не подвержен.



На Android


Пользователи Android в большей опасности. Google была одной из тех, кто нашла уязвимость в чипах, и первой стала работать над её устранением. Она успела разработать несколько патчей, в особенности – для Android-девайсов с процессорами ARM. И выпустила их для своих партнеров еще в декабре. Но каждый индивидуальный разработчик смартфонов не сможет быстро разработать и выпустить обновление для своей прошивки. К тому же, заплатки касаются далеко не всех чипов, и для большинства девайсов решения пока нет.


Процессоры Intel подвержены все, ядра ARM подвержены почти все (от Cortex-A53 и выше). Подтверждено наличие уязвимостей в Cortex-A15, Cortex A-17, Cortex A-72, Cortex-A75, а это процессоры Exynos 5, Exynos 7, Qualcomm Snapdragon 650, 652, 653, 808 и 810, Mediatek Helio X20. Samsung, LG, HTC, Xiaomi, Meizu и другие – для атак через Meltdown и Spectre их девайсы пока что открыты.


Самое обидное – по данным ARM, в категории «уязвимых» оказались процессоры с архитектурой Cortex-A73. А это Snapdragon 835, вставленный в большинство смартфонов-флагманов 2017 года: Galaxy S8, S8+, Note 8, Google Pixel 2, OnePlus 5 и так далее. То же касается и флагманов 2015 года с процессором Snapdragon 810, в котором стоят ядра Cortex-A57. То есть, чем дороже у вас смартфон, тем выше шанс, что он подвержен атаке.




Хорошая новость в том, что если у вас смартфон или планшет с ядрами ARM, о которых не говорится выше, и разработчик вашего девайса на короткой ноге с Google, и вы поставили последние обновления, вы должны быть в безопасности. Можно без страха заходить в интернет-банкинг и вводить пароли от платежных систем. Плюс, Google заявляет, что она разработала новую заплатку Retpoline от Spectre, которая почти не замедляет систему. Она уже работает в продуктах компании, и должна помочь другим производителям.



Что можно сделать


Пока что даже крупные IT-корпорации в замешательстве. Элегантного решения нет ни у кого –  возможно, для полной гарантии придется ждать выпуска процессоров с новой архитектурой. А это больше года: текущие процессоры уже находятся в разработке, и снимать их с конвейера ARM и Intel пока не собираются. Пока что наша безопасность находится в наших собственных руках. Есть несколько (довольно очевидных) правил, которым нужно следовать:


1. Поставьте все обновления от вашего производителя.


Нам могут и не говорить, что конкретно содержится в апдейте. Так, например, сделала Microsoft для Windows 10, чтобы не вызывать панику, и так же «втихую» пытались обновить Linux. Для смартфонов и планшетов это еще важнее. Разработчик вашего девайса должен выпустить патч буквально на этой неделе (если он еще этого не сделал). И, скорее всего, будет выпускать еще не один защитный патч после этого – по мере того, как будут находиться новые решения проблемы. Производительность системы может снизиться на 5-30%, но на деле вы этого не заметите. Самые мощные приложения и игры мало используют системные вызовы, и падение скорости в них не должно превысить 3%.


Для смартфонов Apple апдейты безопасности вышли в декабре, для Samsung их пока не было (обновления касались других аспектов), но их ждут в январе. Устройства Google, включая Nexus 5X, Nexus 6P, Pixel C, Pixel, Pixel 2, апдейты получили.


Обязательно обновите свой браузер.


2. Осторожнее с установкой новых приложений


Наличие заплатки [пока] ничего не гарантирует. Патч, даже если он годится для вашего процессора, только усложняет использование Spectre и Meltdown для взлома девайса. И тут надо понимать, что если эксплойт, ломающий смартфон, всё-таки создадут, он почти наверняка выйдет в виде приложения. Любое запущенное приложение во время работы имеет доступ к процессору, и это всё, что нужно, чтобы воспользоваться уязвимостью. JavaScript в браузере – тоже локально выполняющийся код, но новые Chrome, Firefox и Safari уже сделали предельно усложнили его использование при атаке. Если вы не скачиваете непроверенные приложения, особенно APK с третьих сайтов, шансы «подхватить» эксплойт серьезно снижаются.




Поставьте антивирус, особенно если у вас Android. Всегда проверяйте, кто загрузил приложение в App Store или на Google Play. Не скачивайте лишних утилит. Практическая реализация зловреда крайне сложна, и, скорее всего, атаковать будут банки и корпорации, а не наши пароли от ГТ и Телеграмма в смартфонах. Но вероятность остается, а зловредов в смартфонах и планшетах на нашу голову и без того хватает. В 2017-м в мире нашли 90 млн вирусов, и, судя по новостям этой недели, этот год грозится стать еще хуже. Особенно в связи с последними прогнозами, что хакерские атаки в 2018-м возглавит ИИ. Так считает 62% топ-специалистов по информационной безопасности, опрошенных Cylance.


Для Intel, кстати, нынешняя ситуация вполне может обернуться профитом: чипы, не содержащие этих уязвимостей, которые выйдут через пару лет, будут востребованы, как никогда. Сложнее всего из тех. компаний приходится Microsoft и Amazon – их гигантские облачные сервисы (AWS, Azure) и виртуальные машины под большой угрозой, и если какие-то хакеры и попытаются «оседлать» Spectre и Meltdown, одну из первых атак логично будет направить на них.



P.S.


Новые гаджеты из США можно взять через нас. В том числе полностью безопасный Apple Watch с процессором собственной разработки. На 30-40% дешевле, чем в РФ, потому что без «Налога Михалкова» и других пошлин. Читатели, которые после регистрации введут код GEEKTIMES, получают $7 на счет.

Комментарии (44)


  1. vassabi
    08.01.2018 16:24

    Насколько я понимаю, чуть ли не единственное место, через которое мы запускаем ежеминутно новое, свежескачанное из интернета, приложение — это скрипты в браузере. Страничку обновил — к вам приехала новая сборка кода (иногда — старая, закешированная, а иногда — нет).
    Обычные приложения обновляются с гораздо меньшей скоростью, их бинарники подписываются вендорами и сторами.
    Почему же все так сконцентрированы на обновлениях аж ОС и микрокода процессоров, а не браузеров?


    1. willmore
      08.01.2018 16:42

      Можно закрыть дыру на уровне ОС для всех приложений, потому так и делают. Браузеры тоже заплатками закроют, но это только часть защиты.


      1. poxvuibr
        09.01.2018 13:58

        Вот. Вот я не скачиваю ничего из непроверенных источников. И тем более не запускаю. И, казалось бы, можно было бы обновить браузер и спокойно жить дальше. Но нет, теперь у меня все программы будут работать на 5-30% медленнее.


        1. EvgeniyNuAfanasievich
          09.01.2018 15:39

          ну и отлично! меньше идиотским комментариев в единицу времени понапишите.


          1. poxvuibr
            09.01.2018 18:19

            Вы считаете мой предыдущий комментарий идиотским?


            1. 0o0
              11.01.2018 17:07

              Я тоже.
              Не все программы, а только те, что…
              хотя зачем повторяться, мой комментарий все равно до конца не дочитаете, как и статьи, где всё разжевано.


    1. olartamonov
      08.01.2018 16:47

      Для Firefox уже вышло обновление, затрудняющее атаку, для Chrome — выйдет 23 января.

      Без них — из браузера можно утащить данные, крутящиеся в самом процессе браузера, но не других программ.


      1. anshdo
        08.01.2018 23:36

        Так в процессе браузера как раз самое вкусное можно накопать.


      1. dimitry78
        08.01.2018 23:36

        из браузера и кучи куки можно много чего утащить — wtf — кто будет ломать васю пупкина, хоть и со сбером-онлайн — я так понимаю вектор атаки " мы бедный вирус из одной горной страны, запустите меня и запостите друзьям на выполнение" на телефонах стоят виртуалки? замерить выполнение кода в озу для второй (3,4,5, й) машины? ну да — подвержены хостеры — в Wow та в чем проблема…


        1. olartamonov
          09.01.2018 01:09

          Вы понимаете неправильно.

          На непатченном браузере всё реализуется на обычном JS.


        1. zi0
          11.01.2018 21:41

          10кк «Вась со сбером», по 10 рублей – это будет… сумасшедшие деньги!"©

          не стоит недооценивать потенциальную пользу массовых уязвимостей. владельцы ботнетов подтверждают.


  1. SADKO
    08.01.2018 16:53

    разработать скрипты для нее злоумышленникам будет на порядок сложнее, даже для приложений, локально работающих на iPhone или iPad. Потенциальный эксплойт может засесть только в браузере с JavaScript


    Это на основании чего такое предположение?
    Как мне средствами JavaScript указать какой именно адрес я хочу читать?
    И как мне узнать где эти данные живут в другом процессе?
    Как раз с нативным кодом, всё гораздо интересней, что под ёсей что под андрюшей.

    Признаюсь armы сам ещё не пробовал, НО предполагаю, проблемы как минимум с точностью\стабильностью таймеров.
    Ну и в приложениях критичных к конфиденциальности данных, авторы обычно не надеются на защиту памяти, так-что сама по себе возможность читать память им угрожает не сильно…


    1. nikolayz
      08.01.2018 21:27

      Это на основании чего такое предположение?

      В официальном пейпере по Спектру есть код proof-of-concept на JavaScript и достаточно подробно описано, как он работает. Для обхода ограничения по таймеру пускают Web Worker, атомарно уменьшающий счетчик. Для очистки кеша вместо процессорной инструкции читают мусор из большого массива. В общем, было бы желание.

      Насколько я понял, добраться до адресного пространства другого процесса нельзя, но можно читать адресное пространство браузера, что уже неплохо.

      Как мне средствами JavaScript указать какой именно адрес я хочу читать?

      Ну, я думаю, тем же способом, как и в нативном коде. Проходитесь циклом по всему адресному пространству и ищете какие-то маркеры. Чтобы знать, что конкретно искать, можно почитать исходники браузера или поработать отладчиком и дизассемблером с бинарником.


      1. SADKO
        09.01.2018 19:52

        Как, мы про JavaScript говорим, там указателей каг-бэ нету :-)
        proof-of-concept я читал и даже кое что пробовал вытаскивать, но это не прицельное оружие, а святой рандом и приснодева удача.

        Типовые паттерны защиты конфиденциальных данных при таком раскладе не просто создают проблем, а стабильно таки защищают. Ибо одно дело быстро отхватить кусок памяти, желательно мороженной, и совсем другое таскать её по частям в разные моменты времени, за которые она успевает значительно измениться.


      1. Nick_Shl
        09.01.2018 20:03

        А с какого браузер в интерпретируемом JS позволяет выйти за пределы объявленного массива?


  1. Chupaka
    08.01.2018 20:00

    Сложнее всего из тех. компаний приходится Microsoft и Amazon – их гигантские облачные сервисы (AWS, Azure) и виртуальные машины под большой угрозой, и если какие-то хакеры и попытаются «оседлать» Spectre и Meltdown, одну из первых атак логично будет направить на них.

    А почему Google с их Google Cloud Services в этот список не попал?


  1. Noizefan
    08.01.2018 21:25

    За что минус статье? Для меня эта информация была очень полезной.
    Считаю, достойна большего внимания:
    1. Актуально
    2. С грамматикой всё в порядке
    3. Содержит описание проблемы, конструктив, методы защиты.

    Поставьте кто за меня плюсик. Так реально полезный и нужный материал проходит мимо недальновидных ребят, которые только на рейтинг статей и смотрят.


    1. OKyJIucT
      09.01.2018 00:41

      По сути то же самое, но более разжеванное писали на днях. И рейтинг статьи в данном случае как раз говорит об актуальности, точности и востребованности новости в такой подаче.


  1. AlexanderS
    08.01.2018 22:28

    Поставьте антивирус, особенно если у вас Android.

    От данных уязвимостей — не поможет)


    1. harlong
      09.01.2018 00:03

      Напрямую не защитит. А если появится действующий эксплойт на «свободном выгуле», и будет внесен в базы антивирусов, то при появлении его на вашем смартфоне он вполне себе может быть опознан по сигнатурам.
      Ну и анализ поведения тоже никто не отменял, для эксплуатации этих уязвимостей оно, судя по всему, должно быть достаточно характерное.


      1. anshdo
        09.01.2018 02:49

        Именно что анализом поведения такое не ловится от слова совсем — ибо запрос куда не положено происходит в "параллельной реальности" — в отброшенной процессором ветке спекулятивно выполняемого кода. Снаружи программа ведет себя совершенно прилично.


        1. harlong
          10.01.2018 23:30

          Я имел ввиду, что распознаванию той части эксплойтов, которая действует не в «параллельной реальности», а в обычной (очистка/забивание мусором кэша и затем многократные последовательные замеры времени получения нужных данных) теоретически могут быть обучены эвристические анализаторы.


  1. fedor1210
    08.01.2018 22:39

    Буквально только что Apple выпустила патчи для iOS и macOS (Safari пока только в обоих случаях). То есть патч не ядра, а лишь WebKit сейчас.


    1. Vitalley
      09.01.2018 01:14

      Обновления на Сафари посыпались горой, на капитан ещё висит у меня обновление, но ставить его не хочу, вдруг будет замедление системы и начнёт жрать батарейку.


    1. Vitalley
      09.01.2018 01:50

      После обновления Safari перестал SavefromNet работать.


  1. riartem
    08.01.2018 23:45

    А есть где-то список относительно свежих смартфонов на android, производители которых уже выпустили патчи? (кроме нексусов)
    А то как раз думаю, что взять и появился новый фактор в выборе.


    1. mithron
      09.01.2018 15:57

      Пока никто из крупных производителей кроме Apple и Google не выпустил. Еще выпустил Essential Phone, но это наверно не очень интересно.


    1. entkirr
      09.01.2018 20:03

      Вроде как смартфоны на процессорах Snapdragon 625 без этой уязвимости.


  1. Tarasovych
    09.01.2018 03:15

    Но каждый индивидуальный разработчик смартфонов не быстро разработать и выпустить обновление для своей прошивки.

    Перевод


  1. Polunochnik
    09.01.2018 06:21

    около 20 лет нехорошие люди использовали этот эксплойт, пока другие люди не нашли закладку. сколько же еще таких сюрпризов кроется? и сколько наделают в новых линейках процессоров?


    1. sirocco
      09.01.2018 08:36

      Странновато всё это выглядит. Уязвимость, которую крайне сложно эксплуатировать, вирусов под которую (пока?) не существует. У меня немного другое обоснование, кроме паранои. Заметил что все мои знакомые, а также в корпоративном сегменте, очень редко кто обновляет железо, потому что и так всё работает и ресурсов вполне достаточно. Это правда. В основном стационарные компы все трёх-пяти летней давности, и работаю прекрасно. Есть подозрение, что это очень не нравится интелу и амд, и решили встряхнуть рынок, заставить брать новое железо «силой». Но ладно, время покажет, где правда.
      Раньше, лет 15 назад, многие апгрейдили свои компы чуть ли не каждый год, а примерно с 2013го перестали это делать, имхо.
      P.S. Ну разработают новую архитектуру (или уже разработана) с более удобной уязвимостью, о которой будут знать только лишь совсем не многие, остальные узнают через 20 лет.


      1. h0rr0rr_drag0n
        09.01.2018 18:07

        Есть подозрение, что это очень не нравится интелу и амд, и решили встряхнуть рынок, заставить брать новое железо «силой».

        Если это даже и так, то брать новое железо все равно смысла нет — производители ОС всячески работают над патчами, которые избавляют от проблемы ценой небольшого снижения производительности. Сомневаюсь, что большинство тех же ПК постоянно работают «на пределе», что даже небольшое снижение производительности будет критично для пользователя и он побежит в магазин за новым железом.


  1. perfect_genius
    09.01.2018 09:13

    Кто-то уже спрашивал про названия уязвимостей? Кто их придумал? Почему они такие — Meltdown (Расплавление) и Spectre (Призрак)?


    1. mastan
      09.01.2018 10:22

      С сайта spectreattack.com

      Why is it called Meltdown?
      The vulnerability basically melts security boundaries which are normally enforced by the hardware.
      Why is it called Spectre?
      The name is based on the root cause, speculative execution. As it is not easy to fix, it will haunt us for quite some time.

      Meltdown — уязвимость как бы расплавляет границы, которые обычно усиливаются аппаратными средствами.
      Spectre — его первопричина это упреждающее выполнение команд(игра слов, spectre — speculative). И его непросто исправить, он будет преследовать нас(являться нам, как призрак) некоторое время.


  1. Lsh
    09.01.2018 12:20

    Интересно, как дела у писателей альтернативных прошивок? Cyanogenmod, например. Есть довольно старый телефон — Asus ZE550KL, ясен пень, что на него производитель ничего уже не выпустит. А ценные данные на нём есть.


    1. mithron
      09.01.2018 14:22

      AOSP, на котором основаны альтернативные прошивки, обновления получил. Портировать их в сами прошивки должно быть не трудно.


  1. mithron
    09.01.2018 12:54

    Статья хороша тем, что показывает, как понять, уязвим ваш телефон или нет. Надо посмотреть, какой в нем процессор (и какие у процессора ядра) — на маркете или к примеру на gsmarena. Важная ссылка, которая к сожалению не приведена — developer.arm.com/support/security-update. Там табличка хорошая — Variant 1 и 2 это Spectre, variant 3 и 3а — Meltdown. Как видно, у них разные уязвимые ядра (и соответственно процессоры, из этих ядер состоящие).

    Meltdown гораздо легче эксплуатировать. Именно эту уязвимость правят в первую очередь. К нему уязвимо ядро Cortex A75 и все процессоры, включающие его. Если в смарте процессор, использующий это ядро… Ну что ж, не повезло. Лучше не использовать имхо на нем браузер и ставить новые проги и обновления старых до обновления системы.

    Такое впечатление, что ядра Cortex A15, A57, A72 также подвержены Meltdown, но использовать его практически достаточно сложно и патчить их не будут.

    Spectre подвержены ядра Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73, A75. Для них с патчами пока не понятно. Какие-то есть, но насколько они эффективны… Но они есть, соответственно тоже можно ждать обновления от производителей, а пока — как всегда — соблюдать обычную цифровую гигиену.

    Также надо помнить, что подвержены также варианты ядер от Qualcomm и других производителей(Samsung, Huawei и тд.). К примеру тот же Google Pixel на Qualcomm Cryo, и раз для него уже выпущено обновление, то значит и ядро Cryo уязвимо, а это процессор Qualcomm Snapdragon 821. Другие смарты на 821м соответственно должны тоже обновится, но когда…

    Важно, что Cortex A53 не подвержен ни одной из уязвимостей вроде как, что означает — множество «младших» андроидов не уязвимо в этом смысле.


    1. Lsh
      09.01.2018 15:11

      Важно, что Cortex A53 не подвержен ни одной из уязвимостей вроде как

      При этом в статье:
      ядра ARM подвержены почти все (от Cortex-A53 и выше)

      Так как в итоге?


      1. mithron
        09.01.2018 15:17

        В статье ошибка. См. developer.arm.com/support/security-update. Она по факту основной источник информации от ARM. И обновляется.


        1. Lexi
          09.01.2018 16:13

          Собственно и про «Процессоры Intel подвержены все» — написано неточно. Старые атомы, до Silvermont были in-order и уязвимости не подвержены.


  1. svitoglad
    09.01.2018 18:49

    Они прямо издеваются!!! :) :) :)
    tproger.ru/news/microsoft-paused-meltdown-and-spectre-updates-for-amd


  1. gban
    09.01.2018 20:03

    А в новых процессорах будут новые уязвимости :)


  1. 1MK-Ultra
    09.01.2018 20:03

    Был такой браузер comodo. Он в виртуале запускался. По моему он сейчас станет актуальным. Хотя, там свои уязвимости тоже есть, если не исправили.


  1. elfs_shadow
    09.01.2018 20:03

    Если вкратце, это уязвимости, касающиеся почти всех процессоров, выпущенных за последние двадцать лет (все чипы с ядрами Intel, AMD, ARM).

    Насколько я понимаю, про AMD вы немного ошиблись geektimes.ru/post/297029/#comment_10534135