Categories: Sicherheit

Sicherheitslücke: Apple-Prozessoren geben Verschlüsselungsschlüssel preis

Eine Gruppe von Sicherheitsforschern hat eine Schwachstelle in den M-Serie-Prozessoren von Apple entdeckt. Wir ArsTechnica berichtet, ist ein Angreifer unter Umständen in der Lage, Verschlüsselungsschlüssel auszulesen, um auf verschlüsselte Nutzerdaten zuzugreifen.

Der Fehler steckt demnach im sogenannten Data Memory-Dependend Prefetcher (DMP). Diese Komponente sagt voraus, welche Speicheradressen wahrscheinlich vom aktuell ausgeführten Programmcode genutzt werden. Da Prefetcher frühere Zugriffsmuster verwenden, um ihre Vorhersagen zu bestimmten, können Angreifer versuchen, die im Voraus abgerufenen Daten zu beeinflussen und so den Zugriff auf sensible Daten zu erhalten.

Den für die Schwachstelle entwickelten Angriff nannten die Forscher „GoFetch“. Dabei wird eine Eigenart von DMP genutzt: Ein DMP kann den Inhalt des Speicherorts mit Zeigerwerten verwechseln, die zum Laden weiterer verwendet werden, wobei Daten gelegentlich als Zeigerwerte verwendet werden und umgekehrt.

Den Forschern zufolge ist es somit möglich, Daten als Zeigerwerte auszugeben, die DMP dann als eine Speicheradresse behandelt und diese Daten dann in den Cache lädt. Diese Adresse ist dann im Cache sichtbar, wodurch Schadcode Zugriff auf die Adresse erhält. Bei einem Angriff werden Daten des Verschlüsselungsalgorithmus so verändert, dass sie wie ein Pointer aussehen.

Dem Bericht zufolge wird durch den Angriff ein Verschlüsselungsschlüssel nicht geknackt. Allerdings kann eine solche Attacke wohl wiederholt ausgeführt werden, was es erlauben könnte, den Schlüssel auszulesen. Mit der von ihnen entwickelten GoFetch-App benötigten sie etwas mehr als zwei Stunden, um einen 2048-Bit Diffie-Hellman-Schlüssel zu knacken. Einen RSA-Schlüssel mit einer Länge von 2048-Bit fiel ihnen in weniger als einer Stunde in die Hände.

Vorhandene Apple-Prozessoren lassen sich laut ArsTechnica nicht patchen. Stattdessen müssen die notwendigen Änderungen in kryptografischer Software umgesetzt werden. Das wiederum wurde zu höheren Arbeitslasten und somit zu einer geringeren Leistung solcher Software führen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Shokz OpenRun Pro 2: Die perfekte Kombination aus Knochenschall und Air-Conduction Technik

Die neuen OpenRun Pro 2 von Shokz sind die neueste Weiterentwicklung der beliebten offenen Sportkopfhörer.…

13 Stunden ago

UPDF: PDF-Software zu einem Viertel des Preises von Adobe

PDF-Bearbeitungssoftware jetzt im Black Friday Sale mit 50 Prozent Rabatt!

1 Tag ago

Neuer Bedarf an Workplace Services durch DEX und KI

ISG untersucht deutschen Workplace-Services-Markt. Digital Employee Experience (DEX) gilt als Schlüssel für neues Wachstum.

1 Tag ago

SEO-Beratung von Spezialisten wie WOXOW: Deshalb wird sie immer wichtiger

Wer bei Google mit den passenden Suchbegriffen nicht in den Top-Rankings gefunden wird, der kann…

2 Tagen ago

Umfrage: Weniger als die Hälfte der digitalen Initiativen sind erfolgreich

Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…

3 Tagen ago

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

3 Tagen ago