Недавно был обнаружен ряд недостатков безопасности. Согласно отчету, эти недостатки могут позволить хакерам украсть конфиденциальную информацию практически со всех устройств, содержащих чип Intel, Advanced Micro Devices и ARM. Один из этих недостатков характерен только для Intel, но другие затрагивают ноутбуки, настольные компьютеры, смартфоны, планшеты и интернет-службы. Intel и ARM заявляют, что проблема не в недостатке дизайна, однако пользователям по-прежнему необходимо загрузить и установить исправление и обновить свою операционную систему, чтобы применить решение.
«Телефоны, ПК – все будет иметь какое-то влияние, но оно будет варьироваться от продукта к продукту». Эти два недостатка были обнаружены исследователями из Google Alphone Project Project Zero. К открытию также были привлечены многие академические и отраслевые исследователи.
Первая ошибка называется Meltdown. Он влияет на интеллектуальные микросхемы и позволяет хакерам обойти аппаратный барьер. Преодолев аппаратный барьер между приложениями и памятью компьютера, хакер может считывать память компьютера и копировать пароли.
Вторая ошибка называется Призрак. Это влияет на чипы Intel, AMD и ARM. Это позволяет хакерам обмануть безошибочное приложение для предоставления секретной информации.
Следователи сказали, что Apple и Microsoft уже создали патчи для настольных компьютеров своих пользователей, которые пострадали от Meltdown. Microsoft не стала комментировать этот вопрос, а Apple не ответила на запрос о комментарии. Даниэль Грусс, исследователь из Технологического университета Граца, который участвовал в открытии Meltdown, сказал: «Вероятно, это одна из худших ошибок процессора, когда-либо обнаруженных».
Gruss сказал, что Meltdown был более серьезной проблемой в краткосрочной перспективе, но это можно остановить с помощью программных патчей. Spectre, с другой стороны, представляет собой более широкую ошибку, применимую практически ко всем вычислительным устройствам. Хакерам сложнее воспользоваться этим. Его нелегко отремонтировать, поэтому в будущем он станет серьезной проблемой.
Крзанич из Intel сказал, что Google рассказал им об ошибке некоторое время назад и с тех пор тестирует решения на устройствах. Прежде чем проблема стала вирусной в Интернете, Google писал в блоге, что Intel и другие компании планируют раскрыть проблему 9 января. Google сообщил, что пострадавшие компании были проинформированы об уязвимости Spectre 1 июня 2017 года. Кроме того, компания сообщила об уязвимости Meltdown позже, до 28 июля 2017 года.
Техническое издание The Register было первым, кто сообщил о недостатках. Также сообщается, что обновление для устранения проблем может сделать чипы Intel на 5-30 процентов медленнее. Однако Intel отрицает, что решение замедляет работу компьютеров. Intel выпустила заявление, в котором говорилось: «Intel начала предоставлять обновления программного обеспечения и прошивки для смягчения этих атак». Вопреки некоторым отчетам, любое снижение производительности зависит от рабочей нагрузки и для среднего пользователя ПК не должно быть значительным и со временем уменьшится ».
Представитель ARM Фил Хьюз сказал, что патчи уже переданы компаниям-партнерам. Это также касается многих производителей смартфонов. Хьюз в своем электронном письме заявил: «Этот метод работает, только если на устройстве уже запущен вредоносный код определенного типа и в худшем случае может получить доступ к небольшим данным из привилегированной памяти».
Чипы AMD также пострадали от ошибки безопасности. Однако его также можно исправить с помощью обновления программного обеспечения. Компания заявила, что в настоящее время риски для продуктов AMD практически нулевые. Google дал сообщение в блоге и сказал, что телефоны Andriod, на которых установлены последние обновления безопасности, защищены. Google Nexus и Pixel защищены последними обновлениями безопасности. Пользователям, у которых есть Chromebook, веб-браузер Chrome и облачные службы Google, также необходимо установить последние обновления. Тем не менее, пользователи Gmail безопасны и не должны предпринимать никаких действий.
Amazon Web Services сообщает, что почти все его интернет-сервисы уже были исправлены, а остальные находятся в процессе исправления. Дефект также влияет на память ядра в чипах процессора Intel x86. Реестр сообщил, что цитировались неназванные программисты, которые позволяли обычным пользователям приложений различать структуру или содержимое защищенных областей на чипе. Это также может заставить хакеров использовать другие ошибки безопасности или раскрыть защищенную информацию, например пароли. Это скомпрометирует отдельные компьютеры и даже весь сетевой сервер.
Дэн Гвидо, глава консалтинговой компании Trail of Bits по кибербезопасности, сказал, что компаниям следует как можно скорее обновить уязвимые системы. Он сказал, что хакеры быстро разработают код, который можно использовать для запуска атак, использующих уязвимости. Гвидо сказал: «Уязвимости от этих ошибок будут добавлены в стандартные наборы инструментов хакеров».
С момента публикации отчета акции Intel упали на 3,4%. Но они снова выросли на 1,2% до 44,70 доллара. Акции AMD выросли на 1% до 11,77 доллара. Неясно, будет ли Intel нести серьезную финансовую ответственность из-за заявленного сбоя. Ганс Мозесманн из Rosenblatt Securities в Нью-Йорке сказал: «Текущая проблема Intel, если она действительно существует, по нашему мнению, вероятно, не потребует замены процессора. Однако ситуация нестабильна ».
