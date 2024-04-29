“Kebutuhan akan kecepatan” memiliki dampak negatif pada banyak pengguna Mac saat ini.
Chip Apple seri M, yang dirancang untuk memberikan kinerja yang lebih konsisten dan lebih cepat daripada prosesor Intel yang digunakan pada masa lalu, memiliki kerentanan yang dapat mengekspos kunci kriptografi, sehingga penyerang dapat membuka data terenkripsi. Kerentanan keamanan penting ini, yang dikenal sebagai GoFetch, mengeksploitasi kerentanan yang ditemukan di prefetcher (DMP) yang bergantung pada memori M-chip.
DMP memprediksi alamat memori yang kemungkinan besar diakses kode dengan memindai cache dan mengambil informasi tersebut terlebih dahulu. Teknologi ini memberi pengguna Apple peningkatan kecepatan komputer dan kinerja komputasi secara keseluruhan. Komputasi intuitif itu adalah salah satu manfaat menggunakan produk Apple untuk peningkatan efisiensi dan produktivitasnya.
Namun, kerentanan GoFetch di DMP telah mengubah hal positif menjadi kewajiban serius. Seperti yang dijelaskan oleh Ars Technica, GoFetch, serangan tidak langsung, “memungkinkan penyerang untuk mengekstrak kunci rahasia dari Mac ketika mereka melakukan operasi kriptografi yang banyak digunakan.” Sederhananya, penyimpanan data yang disimpan dalam M-chip dapat disalahartikan sebagai alamat yang sah dan di-cache. Namun, jika aplikasi jahat mendapatkan akses melalui kerentanan, itu dapat berulang kali mendorong kesalahan ini dan akhirnya mendekripsi kunci. Sekelompok peneliti menemukan bahwa kerentanan tersebut sebenarnya "menimbulkan risiko besar terhadap paradigma pengodean waktu konstan."
Secara kritis, kerentanan GoFetch berasal dari desain inti chip seri M, yang berarti Apple tidak dapat melakukan perbaikan kelemahan dengan patch perangkat lunak sederhana. Sebaliknya, mitigasi apa pun akan memerlukan kode pelindung yang ditambahkan ke perangkat lunak enkripsi pihak ketiga. Ini dapat secara drastis memperlambat kinerja, terutama pada model Mac M1 dan M2 yang lebih lama.
Kerentanan GoFetch menyoroti masalah lama bagi pengembang, TI, dan tim keamanan: menyeimbangkan pentingnya keamanan versus kinerja. Dalam hal ini, manajemen kerentanan di sekitar GoFetch akan berdampak negatif pada kinerja komputer Mac (perangkat Apple lainnya, seperti iPad, tampaknya belum terpengaruh). Kecepatan adalah nilai jual bagi pembuat chip; kecepatan komputer sangat penting untuk produktivitas. Namun, ini juga berarti bahwa keamanan menjadi prioritas utama.
Dengan mengorbankan keamanan dalam preferensi untuk kinerja, pengguna terpapar serangan pada kunci enkripsi mereka, yang berpotensi membahayakan data sensitif.
Memperbaiki keamanan dalam pengembangan chip akan mengharuskan produsen untuk membagikan detail tentang pengembangan chip, tetapi juga berarti manajemen kerentanan dapat diimplementasikan lebih awal. Dalam jangka panjang, itu akan meningkatkan kinerja.
GoFetch adalah cacat perangkat keras, jadi tidak ada perbaikan yang mudah; pengembang tidak bisa begitu saja memperbarui kode perangkat lunak dan mengirimkannya ke pengguna seperti yang mereka bisa dengan SaaS.
Apple telah menyatakan bahwa jika pengguna dengan perangkat chip M-3 mengaktifkan pengaturan waktu independen data (DIT), mereka akan dapat menonaktifkan DMP dan menambahkan keamanan: “Dengan DIT diaktifkan, prosesor menggunakan jumlah waktu yang lebih lama dan terburuk untuk menyelesaikan instruksi, terlepas dari data input.”
Tapi itu tidak membantu mereka yang memiliki perangkat M1 dan M2, dan para peneliti mengakui bahwa menonaktifkan DMP adalah langkah drastis untuk perangkat M3. Mereka menyarankan pendekatan pertahanan lain yang meliputi:
Pada tulisan ini, belum ada laporan tentang serangan siber besar seputar kerentanan GoFetch, tetapi itu hanya masalah waktu. Setiap organisasi atau pengguna yang menggunakan perangkat Mac akan ingin meningkatkan pertahanan mereka dan menyadari potensi risiko karena, seperti yang disimpulkan para peneliti, “DMP menimbulkan ancaman keamanan yang signifikan terhadap perangkat lunak modern, melanggar berbagai implementasi kriptografi canggih.”