محققان امنیتی به تازگی آسیبپذیری جدیدی در پردازندههای اینتل و AMD کشف کردهاند که امکان استخراج کلیدهای رمزنگاری AES به همراه مشاهده فرکانس بوست CPU را به هکرها میدهد.
ظاهراً این آسیبپذیری تمام کدهای الگوریتمهای رمزنگاری را تحت تاثیر قرار نمیدهد اما میتوان با استفاده برخی از تکنیکها خطرات ناشی از این آسیبپذیری را کاهش داد که همین امر بر عملکرد پردازندهها تاثیر میگذارد.
البته اینتل اعلام کرده که از این از آسیبپذیری اطلاع دارد. اما این احتمال وجود دارد که سایر پردازندههای موجود در بازار هم از این آسیبپذیری متاثر شوند.
آسیبپذیری Hertzbleed مانند سایر حملات Side-Channel امکان مشاهده یا سوءاستفاده از یک فرآیند در حال اجرای سیستم را فراهم میکند تا هکرها بتوانند اطلاعات حساس را سرقت کنند.
ظاهراً الگوریتمهای رمزنگاری تحت تاثیر این آسیبپذیری قرار نگرفتهاند و حتی در بررسیهای محققان امنیتی معلوم شده پردازندههای مبتنی بر معماری ARM هم در امان هستند.
این آسیب پذیری تمامی پردازندههای اینتل و پردازندههای AMD مبتنی بر معماری Zen 2 و Zen 3 را تحت تاثیر قرار داده اما فعلاً مشخص نیست که آیا پردازندههای جدید Zen 4 تیم قرمز تحت تاثیر مشکل Hertzbleed قرار دارند یا خیر.
آسیبپذیری Hertzbleed را میتوان از راه دور کنترل کرد و نیازی به دسترسی فیزیکی و حضوری به پردازنده نیست اما فعلا این آسیب پذیری بر روی پردازندههای اینتل و AMD اثبات شده است.
اینتل اعلام کرده که یافتههای خود در این رابطه را با دیگر سازندگان تراشه به اشتراک میگذارد. با این وجود اینتل ادعا کرده که فکر نمیکند این حمله خارج از محیط آزمایشگاهی عملی باشد.
در همین رابطه بخوانید:
- کشف آسیب پذیری تراشه M1 اپل توسط MIT ؛ کنترل کامل سیستم از راه دور با حمله PACMAN
- آسیب پذیری خطرناک بیش از 100 مدل لپ تاپ لنوو بدون آنکه کاربران اطلاع داشته باشند!
- آسیب پذیری Dirty Pipe گوشیهای مجهز به اندروید 12 کنترل دستگاه را از دستتان خارج میکند
به نظر میآید سرقت کلیدهای رمزنگاری ساعتها یا روزها به طول میانجامد، علاوه بر این اکسپلویت کردن این مشکل به سیستمهای پیچیده نظارت بر فرکانس و قدرت CPU نیاز دارد.
علاوه بر این اینتل از شش آسیبپذیری جدید خبر داده است. اینتل پس از کشف مشکلات امنیتی Spectre و Meltdown، بخش تحقیقات داخلی خود را متحول کرده تا مشکلات امنیتی را پیش از اطلاع هکرها کشف و با آنها مقابله کند.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت