Logo sv.androidermagazine.com
Logo sv.androidermagazine.com
» Hjälp & hur man gör
Hjälp & hur man gör

Meltdown hack and specter bug: hur det påverkar Android- och krom-användare

Meltdown hack and specter bug: hur det påverkar Android- och krom-användare

Innehållsförteckning:

Anonim

Du kanske har hört att himlen har fallit och säkerhetsapokalypsen har hänt på grund av två nya attacker med namnet Meltdown och Spectre. Om du arbetar inom IT eller något annat område i storskalig datorinfrastruktur känner du dig förmodligen som den också har och ser redan fram emot dina 2018 semesterdagar.

Mediahandlarna hörde först rykten om denna mor-till-alla-exploater i slutet av 2017, och de senaste rapporterna var ganska spekulativa och tvingade slutligen företag som Microsoft, Amazon och Google (vars projekt Zero-team upptäckte hela saken) att svara med detaljer. Dessa detaljer har gjort för en intressant läsning om du är intresserad av den här typen av saker.

Men för alla andra, oavsett vilken telefon eller dator du använder, kan mycket av det du läser eller höra låta som om det är på ett annat språk. Det beror på att det är det, och om du inte är flytande i cyber-geek-security-techno-speak kan du behöva köra det genom en översättare av något slag.

Goda nyheter! Du hittade den översättaren, och här är vad du behöver veta om Meltdown och Spectre, och vad du behöver göra åt det.

Vad de är

Meltdown och Spectre är två olika saker, men eftersom de avslöjades samtidigt och båda handlar om mikroprocessorarkitektur på hårdvarunivå, pratar de om tillsammans. Telefonen du använder just nu påverkas nästan säkert av Specters utnyttjande, men ingen har hittat ett sätt att använda den - ännu.

Processorn inuti din telefon avgör hur sårbar den är för dessa typer av exploater, men det är säkrare att anta att de alla påverkar dig om du är osäker. Och eftersom de inte utnyttjar ett fel och istället använder en process som är tänkt att hända, finns det ingen enkel fix utan programuppdatering.

Titta på telefonen i dina händer; det är sårbart för några av dessa attacker.

Datorer (detta inkluderar också telefoner och andra små datorer) förlitar sig på vad som kallas minnesisolering för säkerhet mellan applikationer. Inte minnet som används för att lagra data på lång sikt, utan minnet som används av hårdvara och programvara medan allt fungerar i realtid. Processer lagrar data separat från andra processer, så ingen annan process vet var eller när den skrivs eller läses.

De appar och tjänster som körs på din telefon vill alla att processorn ska göra lite arbete och ger den kontinuerligt en lista över saker de behöver beräkna. Processorn utför inte dessa uppgifter i den ordning de mottas - det skulle innebära att vissa delar av CPU är inaktiva och väntar på att andra delar ska slutföras, så steg två kan göras efter att steg ett är klart. Istället kan processorn gå vidare till steg tre eller steg fyra och göra dem i förväg. Detta kallas out-of-order-exekvering och alla moderna CPU: er fungerar på detta sätt.

Meltdown och Spectre utnyttjar inte ett fel - de attackerar hur en processor beräknar data.

Eftersom en CPU är snabbare än någon mjukvara kan vara, gör den också lite gissning. Spekulativ exekvering är när CPU utför en beräkning som den ännu inte var ombedd att göra baserat på tidigare beräkningar som den ombads att utföra. En del av att optimera programvaran för bättre CPU-prestanda följer några regler och instruktioner. Detta innebär att det mesta av tiden finns ett normalt arbetsflöde som kommer att följas och en CPU kan hoppa framåt för att ha data redo när programvaran ber om det. Och eftersom de är så snabba, om uppgifterna inte behövs trots allt, kastas de åt sidan. Detta är fortfarande snabbare än att vänta på att begäran ska göra en beräkning.

Den här spekulativa exekveringen är det som gör det möjligt för både Meltdown och Spectre att få tillgång till data som de annars inte skulle kunna få, även om de gör det på olika sätt.

härdsmälta

Intel-processorer, Apples nyare A-serieprocessorer och andra ARM SoC: er som använder den nya A75-kärnan (för tillfället är det bara Qualcomm Snapdragon 845) är sårbara för Meltdown-exploateringen.

Meltdown utnyttjar det som kallas en "privilegiumupptrappningsfel" som ger en applikation tillgång till kärnminne. Detta innebär att all kod som kan få tillgång till detta minnesområde - där kommunikationen mellan kärnan och CPU sker - har i princip tillgång till allt den behöver för att köra någon kod på systemet. När du kan köra vilken kod som helst har du tillgång till all data.

Spöke

Spectra påverkar nästan alla moderna processorer, inklusive den på din telefon.

Specter behöver inte hitta ett sätt att köra kod på din dator eftersom det kan "lura" processorn till att utföra instruktioner för den och sedan ge åtkomst till data från andra applikationer. Detta innebär att en exploit kan se vad andra appar gör och läsa de data de har lagrat. Det sätt som en CPU bearbetar instruktioner som inte fungerar i grenar är där Specter attackerar.

Både Meltdown och Spectre kan exponera data som ska sandlådas. De gör detta på hårdvarunivå, så att ditt operativsystem inte gör dig immun - Apple, Google, Microsoft och alla typer av öppna Unix- och Linux-operativsystem påverkas lika.

På grund av en teknik som kallas dynamisk schemaläggning som gör att data kan läsas eftersom de beräknas istället för att de måste lagras först, finns det massor av känslig information i RAM för en attack att läsa. Om du är intresserad av den här typen av saker är whitepapers som publiceras av Graz University of Technology fascinerande läsningar. Men du behöver inte läsa eller förstå dem för att skydda dig själv.

Påverkas jag?

Ja. Åtminstone var du det. I princip drabbades alla tills företagen började lappa sin programvara mot dessa attacker.

Programvaran som behöver uppdateras finns i operativsystemet, så det betyder att du behöver en patch från Apple, Google eller Microsoft. (Om du använder en dator som kör Linux och inte går in i infosec, har du också korrigeringen. Använd din programvaruuppdaterare för att installera den eller be en vän som är i infosec att leda dig genom att uppdatera din kärna). Den fantastiska nyheten är att Apple, Google och Microsoft har patchar antingen redan utplacerade eller på väg i en omedelbar framtid för stöder versioner.

Specifikationerna

  • Intel-processorer sedan 1995, med undantag för Itanium och ATOM-plattformen före 2013, påverkas av både Meltdown och Specter.
  • Alla moderna AMD-processorer påverkas av Specter-attacken. AMD PRO och AMD FX (AMD 9600 R7 och AMD FX-8320 användes som proof-of-concept) CPU: er i en icke-standardkonfiguration (kärna BPF JIT aktiverad) påverkas av Meltdown. Det förväntas att en liknande attack mot minnesavläsning på sidkanaler är möjlig mot alla 64-bitars CPU-enheter inklusive AMD-processorer.
  • ARM-processorer med Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 och A75-kärnor är misstänkta för Specter-attacker. Processorer med Cortex A75 (Snapdragon 845) -kärnorna är sårbara för Meltdown-attacker. Det förväntas att chips som använder varianter av dessa kärnor, som Qualcomms Snapdragon-linje eller Samsungs Exynos-linje, också kommer att ha liknande eller samma sårbarheter. Qualcomm arbetar direkt med ARM och har detta uttalande i frågorna:

Qualcomm Technologies, Inc. är medveten om säkerhetsforskningen om branschövergripande processorproblem som har rapporterats. Tillhandahållande av teknologier som stöder robust säkerhet och integritet är en prioritering för Qualcomm, och som sådan har vi arbetat med Arm och andra för att utvärdera effekterna och utveckla mildring för våra kunder. Vi integrerar och distribuerar aktivt begränsningar mot sårbarheterna för våra påverkade produkter och vi fortsätter att arbeta för att stärka dem som möjligt. Vi håller på att distribuera dessa begränsningar till våra kunder och uppmuntrar människor att uppdatera sina enheter när patchar blir tillgängliga.

  • NVIDIA har fastställt att dessa exploater (eller andra liknande exploateringar som kan uppstå) inte påverkar GPU-datoranvändning, så deras hårdvara är mestadels immun. De kommer att samarbeta med andra företag för att uppdatera enhetsdrivrutiner för att hjälpa till att mildra alla CPU-prestandafrågor, och de utvärderar sina ARM-baserade SoC: er (Tegra).

  • Webkit, personerna bakom webbläsarens återgivningsmotor för Safari och föregångaren till Googles Blink-motor, har en utmärkt uppdelning av exakt hur dessa attacker kan påverka deras kod. Mycket av det skulle gälla för någon tolk eller kompilator och det är en fantastisk läsning. Se hur de arbetar för att fixa det och förhindra att det händer nästa gång.

På vanligt engelska betyder detta att om du fortfarande använder en mycket gammal telefon, surfplatta eller dator, bör du anse dig själv som sårbar utan att uppdatera operativsystemet. Här är vad vi hittills vet på den fronten:

  • Google har lappat Android mot både Specter- och Meltdown-attackerna med lapparna i december 2017 och januari 2018.
  • Google har korrigerat Chromebooks med versionerna 3.18 och 4.4 av kärnan i december 2017 med OS 63. Enheter med andra versioner av kärnan (se här för att hitta din) kommer snart att lappas. På vanligt engelska: Toshiba Chromebook, Acer C720, Dell Chromebook 13 och Chromebook Pixels från 2013 och 2015 (och vissa namn som du antagligen aldrig har hört talas om) har inte lagats ännu men kommer snart. De flesta Chromeboxes, Chromebases och Chromebits är inte korrigerade utan kommer snart.
  • För Chrome OS-enheter som inte korrigeras kommer en ny säkerhetsfunktion som heter Site Isolation att mildra eventuella problem från dessa attacker.
  • Microsoft har lappat båda utvärderingarna från och med januari 2018.
  • Apple har patched macOS och iOS mot Meltdown från och med decemberuppdateringen. Den första omgången med Specter-uppdateringar drevs ut i början av januari. Kolla iMore för allt du behöver veta om dessa CPU-brister och hur de påverkar din Mac, iPad och iPhone.
  • Patches har skickats till alla versioner av Linux-kärnan som stöds, och operativsystem som Ubuntu eller Red Hat kan uppdateras via programvaruuppdateringsprogrammet.

För Android-specifikationer har Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2 och Pixel 2 XL korrigerats och du bör se en uppdatering snart om du inte redan har fått den. Du kan också uppdatera dessa enheter manuellt om du vill. Android Open Source-projektet (koden som används för att bygga operativsystemet för alla Android-telefoner) har också korrigerats och tredjepartsdistributioner som LineageOS kan uppdateras.

Hur man uppdaterar din Pixel eller Nexus manuellt

Samsung, LG, Motorola och andra Android-leverantörer (företag som tillverkar telefoner, surfplattor och TV-apparater) kommer att lappa sina produkter med uppdateringen i januari 2018. Vissa, som Note 8 eller Galaxy S8, kommer att se det före andra, men Google har gjort patchen tillgänglig för alla enheter. Vi räknar med att se fler nyheter från alla partners för att låta oss veta vad vi kan förvänta oss och när.

Vad kan jag göra?

Om du har en produkt som är sårbar är det lätt att fångas in i hype, men du borde inte göra det. Både Specter och Meltdown "händer inte bara" och beror på att du installerar skadlig programvara av något slag som utnyttjar dem. Genom att följa några säkra rutiner kommer du att hålla dig immun mot antingen utnyttja på någon datorhårdvara.

  • Installera bara programvara som du litar på från en plats du litar på. Det här är en bra idé alltid, men särskilt om du väntar på en korrigering.
  • Säkra dina enheter med en bra låsskärm och kryptering. Detta gör mer än bara att hålla en annan person ute, eftersom applikationer inte kan göra någonting medan din telefon är låst utan ditt tillstånd.
  • Läs och förstå behörigheterna för allt du kör eller installerar på din telefon. Var inte rädd för att be om hjälp här!
  • Använd en webbläsare som blockerar skadlig programvara. Vi kan rekommendera Chrome eller Firefox, och andra webbläsare kan också skydda dig mot webbaserad skadlig kod. Fråga de människor som skapar och distribuerar dem om du är osäker. Webbläsaren som medföljde din telefon kanske inte är det bästa alternativet här, särskilt om du har en äldre modell. Edge och Safari är också betrodda för Windows- eller MacOS- och iOS-enheter.
  • Öppna inte länkar på sociala medier, i ett e-postmeddelande eller i något meddelande från någon du inte känner. Även om de kommer från personer du känner, se till att du litar på din webbläsare innan du klickar eller trycker på. Detta går dubbelt för omdirigeringslänkar som maskerar en webbadress. Vi använder den här typen av länkar ganska ofta och chansen är att många onlinemedier du läser också gör. Var försiktig.
  • Var inte dum. Du vet vad detta betyder för dig. Lita på din bedömning och fel på sidan av försiktighet.

Den goda nyheten är att hur dessa sidokanalanvändningar korrigeras inte kommer att ge de enorma avmattningarna som hypades innan några uppdateringar släpptes. Det är precis hur webben fungerar, och om du läser om hur din telefon eller dator skulle bli 30% långsammare efter att någon fix tillämpades berodde det på att sensationalism säljer. Användare som kör uppdaterad programvara (och har varit under testning) ser det inte.

Plåstret har inte resultatpåverkan som vissa hävdade att det skulle ge, och det är en fantastisk sak.

Allt detta berodde på att dessa attacker mäter exakta tidsintervall och de initiala korrigeringarna ändrar eller inaktiverar precisionen för vissa tidskällor genom programvara. Mindre exakt betyder långsammare när du beräknar och effekterna var överdrivna för att vara mycket större än det är. Till och med den lilla prestandan minskar som är ett resultat av korrigeringsfunktionerna minskas av andra företag och vi ser NVIDIA uppdatera hur deras GPU: er knasar eller Mozilla arbetar på hur de beräknar data för att göra det ännu snabbare. Din telefon kommer inte att vara något långsammare i januari 2018-lappen och inte heller kommer din dator om den inte är väldigt gammal, åtminstone inte på något märkbart sätt.

Sluta oroa dig för det och se till att göra allt du kan för att hålla dina data säkra.

Vad man ska ta bort från allt

Säkerhetsskräck har alltid någon form av verklig inverkan. Ingen har sett några fall av Meltdown eller Spectre som används i naturen, och eftersom de flesta enheter som vi använder varje dag uppdateras eller kommer att vara mycket snart kommer rapporter antagligen att fortsätta vara så. Men detta betyder inte att de borde ignoreras.

Ta säkerhetshot som detta på allvar men fall inte för all hype; bli informerad!

Dessa sidokanalutnyttjelser hade potential att vara den stora, allvarliga speländringshändelsen som folk oroar sig för när det gäller cybersäkerhet. Varje exploatering som påverkar hårdvara är allvarlig, och när den attackerar något som görs med avsikt istället för ett fel blir det ännu mer allvarligt. Tack och lov kunde forskare och utvecklare fånga, innehålla och korrigera Meltdown och Spectre innan någon utbredd användning skedde.

Det som verkligen är viktigt här är att du får rätt information så att du vet vad du ska göra varje gång du hör om ett nytt cyberhot som vill ha alla dina digitala saker. Det finns vanligtvis ett rationellt sätt att mildra allvarliga effekter när du gräver förbi alla rubriker.

Var försiktig!

Vi kan tjäna en provision för inköp med våra länkar. Läs mer.

Hjälp & hur man gör

Redaktörens val