Новые выводы учёных выявили серьёзную уязвимость в чипах Apple серии M, которая потенциально может позволить злоумышленникам получить доступ к конфиденциальным ключам шифрования с устройств Mac.
В отчёте, опубликованном 21 марта группой исследователей из нескольких университетов США, уязвимость определяется как эксплойт побочного канала, который позволяет хакерам незаконно получать ключи сквозного шифрования, когда чипы Apple выполняют широко используемые криптографические протоколы.

Однако, в отличие от обычных уязвимостей, которые можно устранить с помощью прямых исправлений, эта конкретная проблема глубоко заложена в микроархитектурном дизайне самого кремния, называя её «неустранимой».
Чтобы должным образом устранить эту ошибку, необходимо использовать стороннее криптографическое программное обеспечение, которое может серьёзно снизить производительность чипов Apple серии M, особенно более ранних версий, таких как чипы M1 и M2.
Эти результаты подчёркивают серьёзный недостаток и проблему для инфраструктуры аппаратной безопасности Apple. В случае их использования хакеры могут перехватить и задействовать шаблоны доступа к памяти для извлечения конфиденциальной информации, такой как ключи шифрования, используемые криптографическими приложениями.
Исследователи назвали этот тип взлома эксплойтом «GoFetch». Взлом беспрепятственно работает в пользовательской среде и требует только стандартных пользовательских привилегий, аналогичных тем, которые необходимы обычным приложениям.
После того, как исследование появилось, пользователи на онлайн-форумах Mac начали задаваться вопросом, есть ли сейчас на самом деле повод для серьёзного беспокойства или проведения необходимых действий в отношении хранилищь с паролями.
Один пользователь заявил, что он верит, что Apple устранит проблему напрямую в их операционной системе — если нет, ну то тогда он начнёт уже серьёзнее беспокоиться по этому поводу.
Другой пользователь сказал, что этот недостаток уже давно известен Apple, и отметил, что, возможно, именно поэтому в Apple M3 есть «дополнительная инструкция для отключения DMP». Пользователь сообщил, что предыдущее исследование на эту тему называлось «предзнаменованием» и датируется 2022 годом.