Riċerkaturi mill-Istitut tat-Teknoloġija tal-Ġeorġja, l-Università ta 'Michigan u l-Università ta' Ruhr żviluppaw it-teknika ta 'attakk iLeakage, li tippermetti l-isfruttament ta' vulnerabbiltà fil-proċessuri ARM tas-serje Apple A u M billi tiftaħ paġna ddisinjata apposta fil-browser. Il-prototipi tal-isfruttament ippreparati mir-riċerkaturi jippermettu, meta jmexxu l-kodiċi JavaScript f'browser, biex issir taf il-kontenut tas-siti miftuħa f'tabs oħra. Per eżempju, huma wrew il-kapaċità li jiddeterminaw it-test ta 'ittra miftuħa f'tab tal-Gmail, ara YouTube istorja, u rkupra l-password mdaħħla mill-maniġer tal-password LastPass fil-formola tal-login. Instagram. L-attakk huwa applikabbli għall-browser Safari fuq sistemi b'macOS u kwalunkwe browser fuq il-pjattaforma tal-iOS (ir-regoli ta' Apple jeħtieġu li l-brawżers kollha tal-iOS jużaw biss il-magna tas-sistema WebKit, li hija komuni għal Safari).
Għalkemm l-attakk japplika biss għall-prodotti Apple, joffri mod interessanti biex jiġu evitati r-restrizzjonijiet tar-riżoluzzjoni tat-tajmer fil-magna WebKit, li potenzjalment jista 'jkun utli biex jinqabżu restrizzjonijiet simili f'browsers oħra. Il-vulnerabbiltà identifikata fiċ-ċipep Apple M1 u M2 hija reminixxenti tal-vulnerabbiltà klassika Spectre v1 u twassal ukoll għal tnixxija tal-kontenut tal-memorja meta twettaq operazzjonijiet fil-mod spekulattiv, li, f'każ ta 'tbassir żbaljat, jintremew mill-proċessur, iżda traċċi tal-eżekuzzjoni tagħhom huma depożitati fil-cache tal-proċessur.
F'dan il-metodu ta 'attakk, l-eżekuzzjoni spekulattiva għamlitha possibbli li jinħoloq primittiv għall-qari arbitrarju ta' 64-bit pointers fl-ispazju tal-indirizz tal-proċess responsabbli biex jagħti l-kontenut tal-paġni fil-browser. Biex tikseb aċċess għall-ispazju tal-indirizzi tal-proċess li fih is-sit ta 'xi ħadd ieħor huwa pprovvdut, intuża trick biex tiftaħ il-paġna aljena li qed tiġi eżaminata f'tieqa pop-up bl-użu tal-metodu JavaScript window.open(). F'dan il-każ, is-sit infetaħ mhux fi proċess separat, iżda fl-istess proċess bil-kodiċi tal-attakkant.
Bħala miżura ta' sigurtà, il-magna WebKit tippermetti biss li JavaScript jaħdem b'pointers ta' 35-bit ippakkjati. Biex jipprovdu aċċess għall-ispazju kollu tal-indirizz tal-proċess u jaqbżu l-limitu ta '35-bit, ir-riċerkaturi użaw it-teknika ta' Konfużjoni tat-Tip biex iġġiegħel lill-magna JavaScript tipproċessa oġġett b'tip mhux korrett. Meta tipproċessa oġġett JavaScript iddisinjat apposta fil-magna, jinħolqu kundizzjonijiet li jwasslu għal eżekuzzjoni spekulattiva ta 'struzzjonijiet li jaċċessaw il-firxa.
Peress li t-tip tal-oġġett ma jaqbilx mat-tip tal-firxa li qed tiġi pproċessata, f'kundizzjonijiet normali tali azzjonijiet huma mblukkati, għalhekk il-kodiċi għall-attakk tat-Tip Konfużjoni jitqiegħed fi blokk kondizzjonali "jekk", li ma jiġix attivat taħt kundizzjonijiet normali , iżda jiġi esegwit f'modalità spekulattiva jekk il-proċessur ibassar b'mod żbaljat aktar fergħat. Bħala riżultat, il-proċessur jaċċessa b'mod spekulattiv il-pointer iġġenerat ta '64-bit, iżda jreġġa' lura l-istat wara li jiddetermina tbassir bla suċċess. F'dan il-każ, traċċi ta 'eżekuzzjoni spekulattiva huma depożitati fil-cache kondiviż u jistgħu jiġu restawrati bl-użu ta' metodi biex jiġi ddeterminat il-kontenut tal-cache permezz ta 'kanali tal-ġenb.
Biex tiġi estratta d-dejta mill-cache tas-CPU L1 li fadal wara operazzjonijiet spekulattivi, l-attakk juża modifika tal-metodu pLRU (psewdo Least Recently Used) propost qabel minn Google. F'dan il-każ, il-metodu pLRU oriġinali huwa bbażat fuq il-kejl tad-dewmien meta taċċessa d-dejta, li d-differenza tagħha tagħmilha possibbli li jiġi ġġudikat jekk ċerta sekwenza hijiex fil-cache tal-proċessur jew le (jekk id-dejta tkun fil-cache, l-operazzjoni titwettaq aktar malajr, u jekk le, aktar bil-mod). Biex tipproteġi kontra l-istħarriġ tal-cache tal-proċessur fil-browsers moderni, l-eżattezza tat-tajmer titnaqqas b'mod sinifikanti għal livell li ma jippermettix li jinstabu differenzi.
Biex tingħeleb il-limitazzjoni tal-preċiżjoni tat-tajmer fl-attakk iLeakage, hija proposta teknika biex tiddetermina l-preżenza jew in-nuqqas ta 'dejta fil-cache bl-użu ta' kundizzjoni ta 'razza. L-essenza tal-metodu hija li simultanjament tniedi żewġ ħjut - il-prinċipali u r-referenza. Thread ta 'referenza jinkludi sekwenza ta' struzzjonijiet li huma esegwiti f'ħin ta 'referenza speċifiku. Fil-bidu nett tal-eżekuzzjoni tal-ħajt ta 'referenza, varjabbli kondiviża mal-ħajt prinċipali hija ssettjata għal 1, u wara li l-istruzzjonijiet jiġu esegwiti, il-varjabbli jiġi reset għal żero. Għalhekk, varjabbli kondiviża għandha biss il-valur 1 għal ċertu żmien qasir.
Il-ħajt prinċipali jibda ċiklu għad-determinazzjoni tad-dejta fil-cache bl-użu tal-metodu pLRU. Sinjal tal-preżenza jew in-nuqqas ta 'data ċċekkjata fil-cache mhuwiex il-kejl tal-ħin mit-tajmer, iżda l-istat tal-varjabbli konġunt wara l-iċċekkjar. Jekk il-varjabbli għandha valur ta '1, allura l-operazzjoni kompletata aktar malajr mill-kodiċi ta' referenza ġiet eżegwita f'ħajt parallel, i.e. id-data kienet servuta mill-cache. Jekk il-varjabbli fiha l-valur 0, allura l-operazzjoni ħadet żmien relattivament twil biex titlesta minħabba n-nuqqas ta 'dejta fil-cache, u l-kodiċi ta' referenza fil-ħajt parallel kellu żmien biex jiġi pproċessat bis-sħiħ.
L-eżattezza tal-metodu propost għad-determinazzjoni tal-kontenut tal-cache tvarja minn 90% sa 99%, u l-prestazzjoni tad-determinazzjoni tad-dejta hija minn 23 sa 34 bytes kull sekonda, skont il-proċessur u l-apparat. Qabel ma jsir l-attakk, hija meħtieġa kalibrazzjoni tal-kodiċi ta' referenza, li tieħu madwar ħames minuti. Ladarba l-kalibrazzjoni tkun kompluta għas-sistema attwali, tieħu madwar 64 sekonda biex tiġi estratta string b'30 karattru.
Barra minn hekk, nistgħu ninnotaw il-pubblikazzjoni ta 'prototip sfrutt li juża l-vulnerabbiltà Zenbleed fil-proċessuri AMD bbażati fuq il-mikroarkitettura Zen2 biex tiġi estratta data pproċessata fi proċessi oħra meta tiftaħ paġna bl-isfrutta fil Chrome. Minbarra l-vulnerabbiltà Zenbleed (CVE-2023-20593), l-isfruttament jinvolvi wkoll il-vulnerabbiltà CVE-2023-3079 fil-magna V8, iffissata fi Chrome 115.
Sors: opennet.ru