Logo da.androidermagazine.com
Logo da.androidermagazine.com
» Hjælp & hvordan man
Hjælp & hvordan man

Meltdown-hack og specter-bug: hvordan det påvirker Android- og Chrome-brugere

Meltdown-hack og specter-bug: hvordan det påvirker Android- og Chrome-brugere

Indholdsfortegnelse:

Anonim

Du har måske hørt, at himlen er faldet, og sikkerhedsapokalypsen er sket på grund af to nye angreb ved navn Meltdown og Specter. Hvis du arbejder inden for it eller et andet område i storskala computerinfrastruktur, har du sandsynligvis lyst til, at den også har, og ser allerede frem til dine 2018 feriedage.

Mediesalg hørte først rygter om denne mor til alt-udnyttelse i slutningen af ​​2017, og nylige rapporter var vildt spekulative og til sidst tvunget virksomheder som Microsoft, Amazon og Google (hvis Project Zero-team opdagede det hele) til at svare med detaljer. Disse detaljer har gjort det til en interessant læsning, hvis du er interesseret i denne slags ting.

Men for alle andre, uanset hvilken telefon eller computer du bruger, kan meget af det, du læser eller hører, lyde som om det er på et andet sprog. Det er fordi det er det, og medmindre du er flydende i cyber-geek-security-techno-speak, er du muligvis nødt til at køre det gennem en oversætter af en eller anden slags.

Gode ​​nyheder! Du fandt den oversætter, og her er hvad du har brug for at vide om Meltdown og Spectre, og hvad du skal gøre ved det.

Hvad de er

Meltdown og Spectre er to forskellige ting, men da de blev afsløret på samme tid og begge beskæftiger sig med mikroprocessorarkitektur på hardwareniveau, bliver de snakket sammen. Telefonen, du bruger lige nu, er næsten helt sikkert påvirket af Specter-udnyttelsen, men ingen har fundet en måde at bruge den på - endnu.

Processoren inde i din telefon bestemmer, hvor sårbar den er for disse typer udnyttelser, men det er mere sikkert at antage, at de alle påvirker dig, hvis du er usikker. Og da de ikke udnytter en fejl og i stedet bruger en proces, der formodes at ske, er der ingen nem løsning uden en softwareopdatering.

Se på telefonen i dine hænder; det er sårbart over for nogle af disse angreb.

Computere (dette inkluderer også telefoner og andre små computere) er afhængige af, hvad der kaldes hukommelsesisolering for sikkerhed mellem applikationer. Ikke den hukommelse, der bruges til at lagre data på lang sigt, men den hukommelse, der bruges af hardware og software, mens alt fungerer i realtid. Processer gemmer data separat fra andre processer, så ingen anden proces ved, hvor eller hvornår det bliver skrevet eller læst.

De apps og tjenester, der kører på din telefon, ønsker alle, at processoren skal udføre noget arbejde og giver den konstant en liste over de ting, de skal beregnes. Processoren udfører ikke disse opgaver i den rækkefølge, de modtages - det vil betyde, at nogle dele af CPU'en er inaktive og venter på, at andre dele er færdige, så trin to kunne udføres, når trin et er afsluttet. I stedet kan processoren gå videre til trin tre eller trin fire og gøre dem forud for tiden. Dette kaldes out-of-order-eksekvering, og alle moderne CPU'er fungerer på denne måde.

Meltdown og Specter udnytter ikke en fejl - de angriber den måde, en processor beregner data på.

Fordi en CPU er hurtigere end nogen software kunne være, gør den også en smule gætte. Spekulativ eksekvering er, når CPU'en udfører en beregning, som den endnu ikke blev bedt om at gøre, baseret på tidligere beregninger, den blev bedt om at udføre. En del af optimering af software til bedre CPU-ydelse er at følge et par regler og instruktioner. Dette betyder, at det meste af tiden er, at der er en normal arbejdsgang, der følges, og en CPU kan springe foran for at have data klar, når software beder om det. Og fordi de er så hurtige, hvis data trods alt ikke var nødvendige, bliver de kastet til side. Dette er stadig hurtigere end at vente på anmodningen om at udføre en beregning.

Denne spekulative udførelse er det, der giver både Meltdown og Spectre adgang til data, som de ellers ikke ville være i stand til, selvom de gør det på forskellige måder.

Nedsmeltning

Intel-processorer, Apples nyere A-serien processorer og andre ARM SoC'er, der bruger den nye A75-kerne (det er lige nu Qualcomm Snapdragon 845) er sårbare over for Meltdown-udnyttelsen.

Meltdown udnytter det, der kaldes en "privilegium-eskaleringsfejl", der giver et program adgang til kernelhukommelse. Dette betyder enhver kode, der kan få adgang til dette hukommelsesområde - hvor kommunikationen mellem kernen og CPU'en sker - i det væsentlige har adgang til alt, hvad den har brug for for at udføre enhver kode på systemet. Når du kan køre en hvilken som helst kode, har du adgang til alle data.

Spectre

Spectre påvirker næsten enhver moderne processor, inklusive den på din telefon.

Specter behøver ikke at finde en måde at udføre kode på din computer, fordi det kan "narre" processoren til at udføre instruktioner til det og derefter give adgang til dataene fra andre applikationer. Dette betyder, at en udnyttelse kunne se, hvad andre apps laver, og læse de data, de har gemt. Den måde, en CPU behandler instruktioner ude af orden i grene på, er hvor Specter angriber.

Både Meltdown og Specter er i stand til at eksponere data, der skal sandboxes. De gør dette på hardwareniveau, så dit operativsystem ikke gør dig immun - Apple, Google, Microsoft og alle mulige open source Unix- og Linux-operativsystemer påvirkes lige så meget.

På grund af en teknik, der er kendt som dynamisk planlægning, der giver mulighed for at læse data, da de er beregnet i stedet for at de først skal gemmes, er der masser af følsomme oplysninger i RAM, som et angreb kan læses. Hvis du er interesseret i denne slags ting, er whitepapers, der er udgivet af Graz University of Technology, fascinerende læser. Men du behøver ikke at læse eller forstå dem for at beskytte dig selv.

Er jeg berørt?

Ja. I det mindste var du. Grundlæggende var alle berørt, indtil virksomheder begyndte at lappe deres software mod disse angreb.

Den software, der skal opdateres, findes i operativsystemet, så det betyder, at du har brug for en programrettelse fra Apple, Google eller Microsoft. (Hvis du bruger en computer, der kører Linux og ikke er i infosec, har du også patch'en. Brug din softwareopdaterer til at installere den, eller spørg en ven, der er i infosec, til at lede dig gennem opdatering af din kerne). Den fantastiske nyhed er, at Apple, Google og Microsoft har patches, der allerede er installeret eller på vej i den nærmeste fremtid for understøttede versioner.

Detaljerne

  • Intel-processorer siden 1995 undtagen Itanium og ATOM-platformen før 2013 er påvirket af både Meltdown og Specter.
  • Alle moderne AMD-processorer er påvirket af Specter-angrebet. AMD PRO og AMD FX (AMD 9600 R7 og AMD FX-8320 blev brugt som proof-of-concept) CPU'er i en ikke-standardkonfiguration (kerne BPF JIT aktiveret) påvirkes af Meltdown. Det forventes, at et lignende angreb mod hukommelseslæsning af sidekanal er muligt mod alle 64-bit CPU'er inklusive AMD-processorer.
  • ARM-processorer med Cortex R7-, R8-, A8-, A9-, A15-, A17-, A57-, A72-, A73- og A75-kerner kan mistænkes for Specter-angreb. Processorer med Cortex A75 (Snapdragon 845) -kernerne er sårbare over for Meltdown-angreb. Det forventes, at chips, der bruger varianter af disse kerner, som Qualcomms Snapdragon-linje eller Samsungs Exynos-linje, også vil have lignende eller de samme sårbarheder. Qualcomm samarbejder direkte med ARM og har denne erklæring om emnerne:

Qualcomm Technologies, Inc. er opmærksom på den sikkerhedsundersøgelse af processorsårbarheder, der er branchen, der er rapporteret. Tilvejebringelse af teknologier, der understøtter robust sikkerhed og privatliv, er en prioritet for Qualcomm, og som sådan har vi samarbejdet med Arm og andre for at vurdere indflydelse og udvikle afhjælpninger for vores kunder. Vi integrerer og implementerer aktivt afhjælpninger mod sårbarhederne for vores påvirkede produkter, og vi arbejder fortsat med at styrke dem som muligt. Vi er i færd med at implementere disse afhjælpninger til vores kunder og opfordrer folk til at opdatere deres enheder, når patches bliver tilgængelige.

  • NVIDIA har bestemt, at disse udnyttelser (eller andre lignende udnyttelser, der måtte opstå) ikke påvirker GPU-computing, så deres hardware er for det meste immun. De vil samarbejde med andre virksomheder om at opdatere enhedsdrivere for at hjælpe med at afbøde eventuelle CPU-ydelsesproblemer, og de evaluerer deres ARM-baserede SoC'er (Tegra).

  • Webkit, folkene bag browser-gengivelsesmotoren til Safari og forløberen for Googles Blink-motor, har en fremragende oversigt over nøjagtigt, hvordan disse angreb kan påvirke deres kode. Meget af det vil gælde for enhver tolk eller compiler, og det er en fantastisk læse. Se, hvordan de arbejder for at ordne det og forhindre, at det sker næste gang.

På almindeligt engelsk betyder det, at medmindre du stadig bruger en meget gammel telefon, tablet eller computer, skal du betragte dig selv som sårbar uden en opdatering til operativsystemet. Her er hvad vi ved så langt på den front:

  • Google har lappet Android mod både Specter og Meltdown-angreb med patcherne december 2017 og januar 2018.
  • Google har lappet Chromebooks ved hjælp af 3.18- og 4.4-versionerne af kernen i december 2017 med OS 63. Enheder med andre versioner af kernen (se her for at finde din) bliver snart rettet. På almindeligt engelsk: Toshiba Chromebook, Acer C720, Dell Chromebook 13 og Chromebook Pixels fra 2013 og 2015 (og nogle navne, som du sandsynligvis aldrig har hørt om), er ikke patchet endnu, men vil snart være. De fleste Chromeboxes, Chromebases og Chromebits er ikke lappet, men vil snart ske.
  • For Chrome OS-enheder, der ikke er patchet, vil en ny sikkerhedsfunktion kaldet Site Isolation afbøde eventuelle problemer fra disse angreb.
  • Microsoft har lappet begge udbytter fra januar 2018.
  • Apple har lappet macOS og iOS mod Meltdown, der starter med december-opdateringen. Den første runde med Specter-opdateringer blev skubbet ud i begyndelsen af ​​januar. Tjek iMore for alt, hvad du har brug for at vide om disse CPU-fejl, og hvordan de påvirker din Mac, iPad og iPhone.
  • Patches er blevet sendt til alle understøttede versioner af Linux-kernen, og operativsystemer som Ubuntu eller Red Hat kan opdateres via softwareopdateringsprogrammet.

Til Android-specifikationer er Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2 og Pixel 2 XL blevet lappet, og du skal se en opdatering snart, hvis du ikke allerede har modtaget den. Du kan også manuelt opdatere disse enheder, hvis du vil. Android Open Source-projektet (koden, der bruges til at oprette operativsystemet til hver Android-telefon), er også blevet rettet, og tredjepartsdistributioner som LineageOS kan opdateres.

Sådan opdateres din Pixel eller Nexus manuelt

Samsung, LG, Motorola og andre Android-leverandører (virksomheder, der laver telefoner og tablets og tv'er), lapper deres produkter med opdateringen i januar 2018. Nogle, som Note 8 eller Galaxy S8, vil se det før andre, men Google har gjort patch tilgængeligt for alle enheder. Vi forventer at se flere nyheder fra alle partnere for at fortælle os, hvad vi kan forvente, og hvornår.

Hvad kan jeg gøre?

Hvis du har et produkt, der er sårbart, er det let at blive fanget af hypen, men du skal ikke. Både Spectre og Meltdown "sker ikke bare" og afhænger af, at du installerer malware af en eller anden slags, der udnytter dem. Ved at følge nogle få sikre praksis vil du være immun over for hver udnyttelse på enhver computerhardware.

  • Installer kun software, som du har tillid til, fra et sted, du har tillid til. Dette er en god ide altid, men især hvis du venter på en programrettelse.
  • Sikre dine enheder med en god låseskærm og kryptering. Dette gør mere end blot at holde en anden person ude, da applikationer ikke kan gøre noget, mens din telefon er låst uden din tilladelse.
  • Læs og forstå tilladelserne på alt, hvad du kører eller installerer på din telefon. Vær ikke bange for at bede om hjælp her!
  • Brug en webbrowser, der blokerer malware. Vi kan anbefale Chrome eller Firefox, og andre browsere kan også beskytte dig mod webbaseret malware. Spørg de mennesker, der fremstiller og distribuerer dem, hvis du er usikker. Den webbrowser, der fulgte med din telefon, er muligvis ikke den bedste mulighed her, især hvis du har en ældre model. Edge og Safari er også tillid til Windows- eller MacOS- og iOS-enheder.
  • Åbn ikke links på sociale medier, i en e-mail eller i nogen meddelelse fra en, du ikke kender. Selvom de kommer fra folk, du kender, skal du sørge for at have tillid til din webbrowser, før du klikker på eller trykker på. Dette går dobbelt for omdirigeringslinks, der maskerer en websteds-URL. Vi bruger den slags links temmelig ofte, og chancerne for, at mange onlinemedier, du læser, også gør. Vær forsigtig.
  • Vær ikke dum. Du ved hvad det betyder for dig. Stol på din dom og fejr ved siden af ​​forsigtighed.

Den gode nyhed er, at den måde, disse sidekanaludnyttelser bliver lappet , ikke vil bringe de enorme afmatninger, der blev hypet, før nogen opdateringer blev frigivet. Det er sådan, hvordan nettet fungerer, og hvis du læser om, hvordan din telefon eller computer skulle være 30% langsommere, efter at nogen fix blev anvendt, var det fordi sensationalism sælger. Brugere, der kører opdateret software (og har været under test), ser det bare ikke.

Opdateringen har ikke den effekt, som nogle hævdede, at den ville medføre, og det er en dejlig ting.

Det hele skete, fordi disse angreb måler nøjagtige tidsintervaller, og de indledende programrettelser ændrer eller deaktiverer præcisionen for nogle timingkilder gennem software. Mindre præcis betyder langsommere, når du beregner, og virkningen blev overdrevet til at være meget større, end den er. Selv de mindre ydeevne falder, der er et resultat af, at patches afbødes af andre virksomheder, og vi ser NVIDIA opdatere måden, hvor deres GPU'er knaser, eller Mozilla arbejder på den måde, de beregner data for at gøre det endnu hurtigere. Din telefon vil ikke være langsommere i januar 2018-programrettelsen, og din computer vil heller ikke være, medmindre den er meget gammel, i det mindste ikke på nogen mærkbar måde.

Stop med at bekymre dig om det, og sørg i stedet for at gøre alt, hvad du kan for at holde dine data sikre.

Hvad man skal tage væk fra det hele

Sikkerhedsskrækker har altid en slags reel indflydelse. Ingen har set nogen tilfælde af, at Meltdown eller Spectre bruges i naturen, og fordi de fleste enheder, som vi bruger hver dag, opdateres eller vil være meget snart, forbliver rapporter sandsynligvis på denne måde. Men dette betyder ikke, at de skal ignoreres.

Tag sikkerhedstrusler som denne alvorligt, men falder ikke for al hype; være informeret!

Disse sidekanaludnyttelser havde potentialet til at være den store, seriøse begivenhed, der skifter spil, folk bekymrer sig om, når det kommer til cybersikkerhed. Enhver udnyttelse, der påvirker hardware, er alvorlig, og når den angriber noget, der er gjort med vilje i stedet for en fejl, bliver det endnu mere alvorligt. Heldigvis kunne forskere og udviklere fange, indeholde og korrigere Meltdown og Spectre inden nogen udbredt anvendelse skete.

Det, der virkelig er vigtigt her, er, at du får de rigtige oplysninger, så du ved, hvad du skal gøre, hver gang du hører om en ny cybertrussel, der ønsker alle dine digitale ting. Der er normalt en rationel måde at afbøde alvorlige virkninger, når du graver forbi alle overskrifter.

Pas på dig selv!

Vi tjener muligvis en provision for køb ved hjælp af vores links. Lær mere.

Hjælp & hvordan man

Valg af editor