Προς το περιεχόμενο

Σοβαρή ευπάθεια σε σειρά επεξεργαστών της Apple οδηγεί στη διαρροή κλειδιών κρυπτογράφησης

Axlmon

Από τον Axlmon
στο Νέα

 Share

Προτεινόμενες αναρτήσεις

Dimitris_1981 Experienced

Dimitris_1981

Δημοσ.
Δημοσ.
2 ώρες πριν, Georgios Pappas είπε

Εγώ τόσα χρόννια έχω καταλάβει το εξής. Ολες αυτές οι εταιρίες πιστεύουνε ότι ο κόσμος και οι πελάτες τους είναι μεγάλα τούβλα που χάβουνε άυτά που μας "πουλάνε". Μας έχουνε φλομώσει στην μαλακία

Είναι φοβερό ότι πρίν λίγες μέρες βγήκε ότι η Apple δεν πουλάει πλέον όσα κινητά πουλάγανε στην κίνα, και τι σκαρφιστηκαν να κάνουνε? Να πάνε πρώτα στα λαπτοπ να τα κανουνε πιο αργά που είναι εύκολο. Σε Λίγο να δείτε θα βγέι και πρόβλημα στο A13 bionic.

Και πάντα... μα πάντα η λύση είναι η ίδια. Φτιάχνετε αλλα η συσκευή γίνετε πιο αργή. Εχουνε γίνει σιχάματα πραγματικά. Αγοράζεις ένα προιον με βάση την απόδοση του και μετά στην ρίχνουνε. Στα Aγγλικά είναι Dealing in bad faith. Μόνο το μονοπόλιο στην κατηγορία τους τους σώζει αλλιώς ο κόσμος θα έφευγε και θα πήγαινε αλλού.

Η Απάντηση είναι ΟΧΙ. KAMIA εταιρία δεν θέλει να πάρει το κόστος της δυσφήμισης για πρόσκαιρα κέρδη. Επίσης δεν υπάρχει το απόλυτα ασφαλές ΗW ή SW.  Ακόμα και αν δεν είναι γνωστές ακόμα όλοι οι επεξεργαστές έχουν ευπάθειες.

Δεν το έκαναν επίτηδες. Το μόνο που μπορεί να έγινε επίτηδες είναι η καθυστέρηση της δημοσίευσης. 

Βασικά η έρευνα λέει ότι μπορεί να επηρεαστεί και ο A14 Bionic και ο Μ3 (Απλά στον Μ3 μπορεί να απενεργοποιηθεί το DMP από τους DEV με το ανάλογο performance cost).

Το πρόβλημα είναι στην ίδια την τεχνολογία (DMP). Και στους Intel που έχουν DMP μπορεί να γίνει αλλά πιο δύσκολα με την μεθοδολογία που χρησιμοποιήσαν οι ερευνητές. Στην ουσία έχουν και αυτοί δυνατότητα να κάνουν disable το DMP.

Νομίζω  η λύση από ότι φαίνεται είναι στην αλλαγή των cryptographic libraries ώστε να γίνουν πιο "ανθεκτικά" στις επιθέσεις. Αυτό όντως θα έχει κάποιο performance cost. 

Mια άλλη λύση που θα σκεφτόμουν είναι να μην επιτρέπει το λειτουργικό την πρόσβαση στο DMP αν η εφαρμογή δεν είναι verified ή να τις πετάει στα efficiency cores που δεν έχουν DPM.

Τέλος η απλούστερη λύση είναι να μην βάζεις unsigned εφαρμογές.

  • Απαντ. 38
  • Δημ.
  • Τελ. απάντηση

Συχνή συμμετοχή στο θέμα

Δημοφιλείς Ημέρες

Συχνή συμμετοχή στο θέμα

Δημοφιλείς Ημέρες

Δημοφιλή Μηνύματα

Dimitris_1981
Dimitris_1981

Είναι δύσκολο  σενάριο για κάποιον που προσέχει. Για να την πατήσεις θέλει να κατεβάσεις unsigned εφαρμογή. Στο MacOS δεν μπορεί να μπει αν δεν το επιτρέψει ο χρήστης . Επίσης ο χρόνος που θέλει για ν

paredwse
paredwse

Άλλο ένα εύστοχο σχόλιο από συνήθη σχολιαστή σε θέματα Apple.  Πες την αλήθεια, δεν μπήκες καν στον κόπο να διαβάσεις μια παράγραφο απο την είδηση, έτσι; Γιατί αλλιώς θα είχες αντιληφθεί ότι δεν πρό

Δημοσιευμένες Εικόνες

SeaLion Contributor

SeaLion

Δημοσ.
Δημοσ.
1 ώρα πριν, Dimitris_1981 είπε

Τέλος η απλούστερη λύση είναι να μην βάζεις unsigned εφαρμογές.

Καλώς ή κακώς, υπάρχουν ακόμα χρήσιμες εφαρμογές που ναι, είναι open source συνήθως και μπορεί να τις κρίνει το community, αλλά παραμένουν unsigned.

Και ιστορικά έχουν περάσει κακόβολες εφαρμογές στα App Store, Mac App Store. Το ζητούμενο είναι να υπάρχει review και από τρίτους, σε κάθε app, σε κάθε release ή build. Ακόμα θυμάμαι το "μολυσμένο" version του Transmission (αρκετά δημοφιλές app) που είχε περάσει και notarization, και φυσικά ήταν signed. Απλά κάποιος είχε μπει στο build process και είχε "μολύνει" με malware κώδικα που δεν τον έπιασε καμία από τις παραπάνω διαδικασίες - έπρεπε κάποιος άνθρωπος να το προσέξει!

Η συγκεκριμένη ευπάθεια είναι αρκετά πολύπλοκη σε σημείο που να έχει ενδιαφέρον μόνο ακαδημαϊκά.

Τα σχόλια που γράφουν πως το κάνουν επίτηδες απλά lol, δεν έχετε ιδέα το επίπεδο πολυπλοκότητας που απαιτεί ο σχεδιασμός αυτών των συστημάτων.

Dimitris_1981 Experienced

Dimitris_1981

Δημοσ.
Δημοσ.
1 ώρα πριν, SeaLion είπε

Καλώς ή κακώς, υπάρχουν ακόμα χρήσιμες εφαρμογές που ναι, είναι open source συνήθως και μπορεί να τις κρίνει το community, αλλά παραμένουν unsigned.

Και ιστορικά έχουν περάσει κακόβολες εφαρμογές στα App Store, Mac App Store. Το ζητούμενο είναι να υπάρχει review και από τρίτους, σε κάθε app, σε κάθε release ή build. Ακόμα θυμάμαι το "μολυσμένο" version του Transmission (αρκετά δημοφιλές app) που είχε περάσει και notarization, και φυσικά ήταν signed. Απλά κάποιος είχε μπει στο build process και είχε "μολύνει" με malware κώδικα που δεν τον έπιασε καμία από τις παραπάνω διαδικασίες - έπρεπε κάποιος άνθρωπος να το προσέξει!

Η συγκεκριμένη ευπάθεια είναι αρκετά πολύπλοκη σε σημείο που να έχει ενδιαφέρον μόνο ακαδημαϊκά.

Τα σχόλια που γράφουν πως το κάνουν επίτηδες απλά lol, δεν έχετε ιδέα το επίπεδο πολυπλοκότητας που απαιτεί ο σχεδιασμός αυτών των συστημάτων.

Στα windows ξέρω μπορείς  να κανείς sandbox. Δεν ξέρω αν αρκεί.

Στο Mac OS δεν ξέρω αν υπάρχει native.

Σίγουρα 100% ασφαλής δεν είσαι ποτέ. Απλά κανείς ότι μπορείς στο βαθμό που σε νοιάζει. Πχ μέχρι κάποια ηλικία δεν με ένοιαζε απλά τράβαγα ένα φορματ και τελείωνε η ιστορία. Τώρα που έχω accounts (ειδικα vpn) & sensitive data προσέχω ίσως και υπερβολικά.

elpenor Experienced

elpenor

Δημοσ.
Δημοσ.
5 hours ago, Dimitris_1981 said:

Κάτι τελευταίο ελπίζω να γίνει κατανοητό και να μην γίνει flame. 

Αυτός είναι ο λόγος που γκρινιάζω ότι δεν θέλω sideloading στο iOS. Αν ανοίξεις το λειτουργικό ανοίγεις και πόρτες σε τυχόν ευπάθειες του SW & HW των iPhone. Ο συνδιασμός  SW & HW είναι που κάνει πιο ασφαλές (όχι άτρωτο) το iPhone και όχι κάποιο μαγικό ματζούνι του Cupertino.

Και επειδή ,αντίθετα με τα MacOS HW ,τα iPhone θα αποτελέσουν στόχο θα σύστηνα να αποφεύγουμε 3rd party SW εκτός αν είναι verified και από γνωστά SW house. Ο λόγος που τα iPhone είναι στόχος είναι το μερίδιο αγοράς στα high end devices με ότι μπορεί να σημαίνει για τον ΜΟ οικονομικής κατάστασης χρηστών (χωρίς να είναι δεδομένο). 

Δεν είναι υποχρεωτικό να κάνεις side loading αν και όταν σας επιτραπεί. Αν το φοβάσαι μην το ενεργοποιήσεις.

Όσο για τα side channel attacks στον prefetcher δεν είναι πραγματικό θέμα, απόδειξη είναι ότι αν δεν κάνω λάθος στο Android dev υπάρχει στα guidelines κανόνας android does not mitigate side channel attacks. Επίσης και η AMD/Intel δεν κάνουν mitigate time and power side channel attacks αν και έχουν διορθωθεί διάφορα πιο εύκολα attack σαν αυτό που βρήκαν τώρα στους m series.

  • Like 1
Dimitris_1981 Experienced

Dimitris_1981

Δημοσ.
Δημοσ.
3 λεπτά πριν, elpenor είπε

Δεν είναι υποχρεωτικό να κάνεις side loading αν και όταν σας επιτραπεί. Αν το φοβάσαι μην το ενεργοποιήσεις.

Όσο για τα side channel attacks στον prefetcher δεν είναι πραγματικό θέμα, απόδειξη είναι ότι αν δεν κάνω λάθος στο Android dev υπάρχει στα guidelines κανόνας android does not mitigate side channel attacks. Επίσης και η AMD/Intel δεν κάνουν mitigate time and power side channel attacks αν και έχουν διορθωθεί διάφορα πιο εύκολα attack σαν αυτό που βρήκαν τώρα στους m series.

Προσωπικα θα το αποφύγω όσο γίνεται  (βέβαια ποτέ μην λες ποτέ). Μόνο από καμία MS και αυτό αν για κάποιο λόγο δεν είναι διαθέσιμο στο Apple App Store. Έτσι κι αλλιώς τα License του office τα παίρνω απευθείας από Ms. Το αντίστοιχο για streaming υπηρεσίες. Τώρα αν πχ κόψει κάνα game δεν θα μπω στην διαδικασία να το κατεβάσω από 3ο store. Εφαρμογές δεν νομιζω ότι έχω κάποια που έχει λόγο να μην είναι στο App Store.

 

Tablet Experienced

Tablet

Δημοσ.
Δημοσ. (επεξεργασμένο)

Αντε παλι τα ιδια... Ερευνητες ανακαλυψαν.. Φοβος και τρομος για εμας τους χρηστες... Το οτι καπιοι επιστημονες σε συγκεκριμενες συνθηκες εκαναν μια ανακαλυψη δεν σημαινει οτι πρεπει να φοβομαστε τα μικρο κλεφτακια αν τυχον κλαπει κανα μακ. Καλο που το μαθαμε. Να κοιταξει η apple να το φτιαξει με το pach. Νext..

Επεξ/σία από Tablet

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα
 Share
Προς την λίστα θεμάτων
  • Δημιουργία νέου...