Как уязвимости Meltdown и Spectre влияют на ваш смартфон

«Чипокалипсис» 2018 года затронул не только Windows и Linux, как кое-где говорилось вначале. Устройства с iOS и Android тоже под угрозой. И если сисадмины и грамотные пользователи ПК хоть как-то готовятся к атаке, пусть даже морально, владельцы смартфонов, кажется, не задумываются, что к их паролям и другой информации может быть получен доступ. Как Apple и Google реагируют на самую серьезную уязвимость процессоров за все десятилетия их существования, и что мы можем сделать?


xblvjvu8azgqeoyq5msej7wljro.jpeg

О чем речь

Если кто-то только вышел из спячки и пропустил главную IT-новость 2018 года, отличные обзоры для Meltdown и для Spectre на ГТ сделал Олег Артамонов. Если вкратце, это уязвимости, касающиеся почти всех процессоров, выпущенных за последние двадцать лет (все чипы с ядрами Intel, AMD, ARM). Во время спекулятивного выполнения операций, необходимого для повышения производительности, чип потенциально открывает доступ к данным для тех процессов, которые не должны были их получать.

The Verge проводит аналогию Meltdown c банком:


В центре банка стоит сейф с паролем. Рядом с ним сидит охранник с пистолетом. Если вы входите и открываете сейф, вас убивают. В параллельном измерении вы заходите в банк, и вас убивают, но вы успеваете заглянуть в сейф и выкрикнуть пароль. А в этом измерении вы слышите крик с этим паролем, и получаете доступ к данным. Даже несмотря на то, что этот вы в банк никогда не входили.

Уязвимости Meltdown и Spectre касаются ядер процессора, то есть это проблема железа. Но когда (или если) под них сделают зловреда, доступ к этой уязвимости –, а также к вашим паролям и зашифрованной информации — он будет получать через софт. Нового «неуязвимого» железа купить вы не можете, его не существует (исключая совсем старинные телефоны, выпущенные на рубеже веков), поэтому единственный способ обезопасить себя — следить за разработчиками операционных систем и их рекомендациями.

На iOS

Apple выпустила свой ответ в четверг, на следующий же день после того, как журналисты обнародовали информацию о наличии аппаратных уязвимостей в микропроцессорах. Она подтвердила, что все Mac и iOS-устройства затронуты этой проблемой. Пока что работающих эксплойтов нет, но пользователям еще раз рекомендуется скачивать приложения только из доверенных источников (App Store) и не заходить на потенциально опасные сайты — атаки возможны через JavaScript.

Команда исследователей, обнаружившая Meltdown и Spectre, проинформировала всех крупных производителей софта и железа еще в июле, и для Windows 10 в ноябре даже вышел патч, пытающийся уменьшить угрозу. Apple такой патч тоже выпустила — iOS 11.2.1, в декабре. Заплатка призвана бороться с Meltdown, и если вы уже обновили девайс до этой версии (она доступна с декабря), атак с этой стороны можно пока не бояться. Судя по тестам GeekBench 4, JetStream и Speedometer, производительность системы при установке патча не снижается.


37qtj1nlrdu7mtecmibpejwil1o.jpeg

Против Spectre защиты пока нет. Но хорошая новость в том, что разработать скрипты для нее злоумышленникам будет на порядок сложнее, даже для приложений, локально работающих на iPhone или iPad. Потенциальный эксплойт может засесть только в браузере с JavaScript (и то только теоретически). Чтобы этому противодействовать, Apple работает над апдейтом для Safari к iOS и macOS. Компания обещает, что замедление скорости работы будет меньше 2,5%.

Apple Watch использует процессор другого типа, и уязвимостям Meltdown и Spectre изначально не подвержен.

На Android

Пользователи Android в большей опасности. Google была одной из тех, кто нашла уязвимость в чипах, и первой стала работать над её устранением. Она успела разработать несколько патчей, в особенности — для Android-девайсов с процессорами ARM. И выпустила их для своих партнеров еще в декабре. Но каждый индивидуальный разработчик смартфонов не сможет быстро разработать и выпустить обновление для своей прошивки. К тому же, заплатки касаются далеко не всех чипов, и для большинства девайсов решения пока нет.

Процессоры Intel подвержены все, ядра ARM подвержены почти все (от Cortex-A53 и выше). Подтверждено наличие уязвимостей в Cortex-A15, Cortex A-17, Cortex A-72, Cortex-A75, а это процессоры Exynos 5, Exynos 7, Qualcomm Snapdragon 650, 652, 653, 808 и 810, Mediatek Helio X20. Samsung, LG, HTC, Xiaomi, Meizu и другие — для атак через Meltdown и Spectre их девайсы пока что открыты.

Самое обидное — по данным ARM, в категории «уязвимых» оказались процессоры с архитектурой Cortex-A73. А это Snapdragon 835, вставленный в большинство смартфонов-флагманов 2017 года: Galaxy S8, S8+, Note 8, Google Pixel 2, OnePlus 5 и так далее. То же касается и флагманов 2015 года с процессором Snapdragon 810, в котором стоят ядра Cortex-A57. То есть, чем дороже у вас смартфон, тем выше шанс, что он подвержен атаке.


2x6qinrlqal5uadbkds32qkgv_y.jpeg

Хорошая новость в том, что если у вас смартфон или планшет с ядрами ARM, о которых не говорится выше, и разработчик вашего девайса на короткой ноге с Google, и вы поставили последние обновления, вы должны быть в безопасности. Можно без страха заходить в интернет-банкинг и вводить пароли от платежных систем. Плюс, Google заявляет, что она разработала новую заплатку Retpoline от Spectre, которая почти не замедляет систему. Она уже работает в продуктах компании, и должна помочь другим производителям.

Что можно сделать

Пока что даже крупные IT-корпорации в замешательстве. Элегантного решения нет ни у кого —  возможно, для полной гарантии придется ждать выпуска процессоров с новой архитектурой. А это больше года: текущие процессоры уже находятся в разработке, и снимать их с конвейера ARM и Intel пока не собираются. Пока что наша безопасность находится в наших собственных руках. Есть несколько (довольно очевидных) правил, которым нужно следовать:

1. Поставьте все обновления от вашего производителя.

Нам могут и не говорить, что конкретно содержится в апдейте. Так, например, сделала Microsoft для Windows 10, чтобы не вызывать панику, и так же «втихую» пытались обновить Linux. Для смартфонов и планшетов это еще важнее. Разработчик вашего девайса должен выпустить патч буквально на этой неделе (если он еще этого не сделал). И, скорее всего, будет выпускать еще не один защитный патч после этого — по мере того, как будут находиться новые решения проблемы. Производительность системы может снизиться на 5–30%, но на деле вы этого не заметите. Самые мощные приложения и игры мало используют системные вызовы, и падение скорости в них не должно превысить 3%.

Для смартфонов Apple апдейты безопасности вышли в декабре, для Samsung их пока не было (обновления касались других аспектов), но их ждут в январе. Устройства Google, включая Nexus 5X, Nexus 6P, Pixel C, Pixel, Pixel 2, апдейты получили.

Обязательно обновите свой браузер.

2. Осторожнее с установкой новых приложений

Наличие заплатки [пока] ничего не гарантирует. Патч, даже если он годится для вашего процессора, только усложняет использование Spectre и Meltdown для взлома девайса. И тут надо понимать, что если эксплойт, ломающий смартфон, всё-таки создадут, он почти наверняка выйдет в виде приложения. Любое запущенное приложение во время работы имеет доступ к процессору, и это всё, что нужно, чтобы воспользоваться уязвимостью. JavaScript в браузере — тоже локально выполняющийся код, но новые Chrome, Firefox и Safari уже сделали предельно усложнили его использование при атаке. Если вы не скачиваете непроверенные приложения, особенно APK с третьих сайтов, шансы «подхватить» эксплойт серьезно снижаются.


xzudh1gml3nn0df_xleokzwm7ea.jpeg

Поставьте антивирус, особенно если у вас Android. Всегда проверяйте, кто загрузил приложение в App Store или на Google Play. Не скачивайте лишних утилит. Практическая реализация зловреда крайне сложна, и, скорее всего, атаковать будут банки и корпорации, а не наши пароли от ГТ и Телеграмма в смартфонах. Но вероятность остается, а зловредов в смартфонах и планшетах на нашу голову и без того хватает. В 2017-м в мире нашли 90 млн вирусов, и, судя по новостям этой недели, этот год грозится стать еще хуже. Особенно в связи с последними прогнозами, что хакерские атаки в 2018-м возглавит ИИ. Так считает 62% топ-специалистов по информационной безопасности, опрошенных Cylance.

Для Intel, кстати, нынешняя ситуация вполне может обернуться профитом: чипы, не содержащие этих уязвимостей, которые выйдут через пару лет, будут востребованы, как никогда. Сложнее всего из тех. компаний приходится Microsoft и Amazon — их гигантские облачные сервисы (AWS, Azure) и виртуальные машины под большой угрозой, и если какие-то хакеры и попытаются «оседлать» Spectre и Meltdown, одну из первых атак логично будет направить на них.

P.S.

Новые гаджеты из США можно взять через нас. В том числе полностью безопасный Apple Watch с процессором собственной разработки. На 30–40% дешевле, чем в РФ, потому что без «Налога Михалкова» и других пошлин. Читатели, которые после регистрации введут код GEEKTIMES, получают $7 на счет.

© Geektimes