В сети продолжают появляться подробности о масштабной проблеме в безопасности, затрагивающей почти все устройства, в том числе смартфоны, выпущенные за последние 20 лет, которую западные СМИ уже окрестили Чипокалипсисом.
Как известно, суть проблемы кроется в технологии прогнозированного исполнения команд с целью ускорения вычислений в современных процессорах. «Брешь» позволяет злоумышленнику получить доступ к данным, находящимся в защищенной области внутренней памяти процессора. Этими данными могут быть пароли в менеджере паролей или браузере, личные фото, электронные письма, сообщения в мессенджерах и даже важная финансовая документация.
На данный момент известно о двух типах возможных атак с использованием этой уязвимости, которые фигурируют под кодовыми названиями Meltdown («Крах») и Spectre («Призрак»). Уязвимости Spectre подвержены некоторые чипы Intel, ARM и AMD, а Meltdown затрагивает сугубо чипы Intel. Более подробно о них можно почитать на специальном сайте, созданном специалистами безопасности из Грацского технического университета (Австрия), Google Project Zero и других организаций.
Многие разработчики ОС и ПО уже приступили к распространению соответствующих патчей, нацеленных на устранение уязвимости, остальные должны выпустить заплатки в ближайшее время.
Активнее остальных на данный момент освещает проблему Google, что понятно, учитывая собственную программу поиска уязвимостей в ПО Google Project Zero. В официальном блоге Google предупредила пользователей о проблеме и рассказала, какие действия следует предпринять.
Google признала, что ОС Android и браузер Chrome подвержены уязвимости. В случае браузера Chrome пользователям рекомендуют включить функцию изолирования сайтов друг от друга, чтобы размежевать данные между сервисами. Сейчас это можно сделать только вручную. Выпуск обновления браузера с автоматическим устранение уязвимости намечен на 23 января.
Что касается Android, разработчики успокаивают, что на «большинстве устройств с Android уязвимость Spectre крайне сложно эксплуатировать, и она очень ограничена». В то же время Google уже разработала соответствующее обновление безопасности с исправлением уязвимости для устройств семейств Nexus и Pixel (Nexus 5X, Nexus 6P, Pixel C, Pixel/XL, и Pixel 2/XL), патчи автоматически загрузятся на устройства в январе. В Google также говорят, что разослала обновления аппаратным партнерам, выпускающим устройства с Android еще в декабре прошлого года. Но когда его получат пользователи (и получат ли вообще) – вопрос открытый.
Компания Mozilla также признала возможность выполнения атаки с использованием уязвимости через браузер Firefox, «дыра» будет закрыта с выпуском обновления браузера под порядковым номером 57.
Пока неясно, уязвимы ли перед новыми угрозами смартфоны iPhone и если да, когда Apple собирается выпускать обновления для iOS. Apple публично пока не комментировала проблему. Видимо, слишком занята заменой аккумуляторов у смартфонов iPhone, о которой все начали быстро забывать на фоне Чипокалипсиса.