Apple je objavio softverske zakrpe za svoje operativne sustave nakon što je potvrdio da su svi njegovi uređaji pogođeni propustima kod mikročipova nazvanim Specter i Meltdown.
Tehnološka industrija pokušava riješiti probleme s čipovima koji su ugrađeni u sve suvremene procesore i zbog kojih bi potrošači i poslovne organizacije mogli biti izloženi riziku neovlaštenog pristupa ili krađe podataka.
Iako je potvrdio da su propustom pogođeni svi Mac sustavi i uređaji s operativnim sustavom iOS, Apple tvrdi da za sada nisu utvrđeni propusti koji utječu na korisnike njegovih uređaja te preporučuje da se softver preuzima samo iz pouzdanih izvora.
Apple je objavio zakrpe za iOS 11.2, macOS 10.13.2 i tvOS 11.2 kako bi sanirao utjecaj Meltdowna. Kompanija također tvrdi da Apple Watch nije pogođen propustom.
Procjenjuje se da zakrpe snažno utječu na performanse uređaja – smanjuju njihovu učinkovitost za čak 30 posto. No, Apple tvrdi da objavljena nadogradnja nije pokazala znatno smanjenje performansi macOS-a niti iOS-a.
Apple namjerava objaviti i zakrpu za svoj preglednik Safari kako bi se obranio od Spectera, a testovi pokazuju da će zakrpa imati mali utjecaj na performanse. Nastavit će također testirati nove zakrpe za Spectre i Meltdown koje će biti ugrađene u buduće nadogradnje iOS-a, macOS-a, tvOS-a i watchOS-a.
Netipična prijetnja
Meltdown i Spectre su u odnosu na dosadašnje sigurnosne izazove netipični jer omogućavaju zlouporabu na razini hardvera. Ovi propusti iskorištavaju sposobnost suvremenih centralnih procesora (CPU) da poboljšavaju brzinu izvršavajući više instrukcija istovremeno. Naime, računalo tijekom rada obrađuje veliku količinu podataka – reagira na klikove, naredbe, pritisak tipki.
Središnji dio operativnog sustava računala je kernel koji koordinira upravljanje podacima – pomiče podatke između raznih memorija u računalu. Računalo pak nastoji osigurati da vam potrebni podaci budu dostupni u najbržoj memoriji u pravom trenutku.
Da bi povećao učinkovitost, CPU predviđa koji će put biti najvjerojatnije odabran za izvršenje operacije. Ako je predviđanje točno, operacija će biti izvršena brže. Ako nije, proces se vraća u prethodnu točku kako bi se operacija izvršila.
Kada se podaci nalaze u procesorskoj memoriji – cachu – njima upravlja procesor, i to je kritična točka u kojoj prijete novootkriveni propusti.
Specter je program koji pokreće nepotrebne operacije te omogućava “curenje” podataka koji bi trebali ostati povjerljivi. Program omogućava napadaču da iskoristi kod JavaScripta koji je pokrenut u pregledniku kako bi pristupio memoriji koja sadrži niz osjetljivih informacija: lozinke, brojeve kreditnih kartica, podatke o pritiscima na tipke… Na sličan način memoriji neovlašteno pristupa i Meltdown te omogućava čitanje podataka iz kernela. Apple procjenjuje da je Meltdown velika prijetnja, s velikim potencijalom za sigurnosni proboj.
Ugroženi Intelovi procesori proizvedeni od 1995.
Istraživači koji su otkrili propuste tvrde da je Meltdownom potencijalno ugrožen svaki Intelov procesor proizveden od 1995. koji predviđa izvršenje operacija, s izuzetkom Itaniuma i Atoma.
Istraživači su potvrdili da Specter pogađa čipove koje su proizveli Intel, AMD i ARM. No, AMD tvrdi da je zbog razlika u arhitekturi rizik kod njihovog čipa “gotovo jednak nuli”, dok ARM poručuje da je većina njihovih čipova nije izložena riziku.
Microsoft i Google također rade na ažuriranju softvera kako bi sanirali posljedice propusta otkrivenog krajem prošle godine. Google je poručio da su telefoni s operativnim sustavom Android zaštićeni ako su korisnici primijenili najnovije sigurnosno ažuriranje.
I pružatelji usluga u cloudu angažirali su se kako bi zaštitili korisnike od posljedica sigurnosnih propusta. No, stručnjaci za sigurnost koji su otkrili propuste sugeriraju da se rizik može iskorijeniti samo zamjenom svih ranjivih procesora.