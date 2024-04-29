تؤثر "الحاجة إلى السرعة" سلبًا في العديد من مستخدمي Mac في الوقت الحالي.
تتسم رقائق Apple M-series، المصممة لتقديم أداء أكثر اتساقًا وسرعة من معالجات Intel المستخدمة في الماضي، بوجود ثغرة يمكن أن تكشف مفاتيح التشفير، ما يؤدي إلى كشف المهاجم عن البيانات المشفرة. ويستغل هذا العيب الأمني الخطير، المعروف باسم GoFetch، ثغرة موجودة في آلية جلب البيانات الاستباقي المعتمد على الذاكرة (DMP) في رقائق M.
تتنبأ آلية جلب البيانات الاستباقي المعتمد على الذاكرة بعناوين الذاكرة التي من المرجح أن تصل إليها التعليمات البرمجية عن طريق مسح ذاكرة التخزين المؤقتة وجلب تلك المعلومات بشكل استباقي. وتوفر هذه التقنية لمستخدمي Apple سرعة محسنة للكمبيوتر وأداء حوسبة شاملاً. تعد الحوسبة البديهية إحدى مزايا استخدام منتجات Apple لفعاليتها وإنتاجيتها المحسنة.
ومع ذلك، فقد حولت الثغرة GoFetch في آلية جلب البيانات الاستباقي المعتمد على الذاكرة الإيجابيات إلى عيب خطير. كما وصفتها مجلة Ars Technica، فإن GoFetch، وهي عيب في القناة الجانبية "يسمح للمهاجمين باستخراج المفاتيح السرية من أجهزة Mac عند إجراء عمليات تشفير مستخدمة على نطاق واسع". ببساطة، يمكن للبيانات المخزنة في رقائق M أن تُفسر خطَأً على أنها عناوين ذاكرة صحيحة فتدخل إلى ذاكرة التخزين المؤقتة. ومع ذلك، إذا تمكن تطبيق ضار من الوصول من خلال الثغرة، فيمكنه تكرار هذا الخطأ مرارًا وتكرارًا وفي النهاية فك تشفير المفتاح. وجدت مجموعة من الباحثين أن هذه الثغرة "تشكل مخاطر جسيمة على نموذج الترميز المستقر زمنيًا".
الأمر الأهم هو أن ثغرة GoFetch تنبع من التصميم الأساسي لرقائق M-series، ما يعني أن Apple لا يمكنها إصلاح هذه الثغرة بمجرد تصحيح برمجي بسيط. وبدلاً من ذلك، سيتطلب أي إجراء للتخفيف من حدة المشكلة إضافة رمز حماية إلى برامج التشفير التابعة لجهات خارجية. وقد يؤدي ذلك إلى إبطاء الأداء بشكل كبير، لا سيما على الطُرز Mac M1 وM2 القديمة.
تسلط ثغرة GoFetch الضوء على مشكلة طويلة الأمد تواجه المطورين وفرق تقنية المعلومات والأمن: الموازنة بين أهمية الأمان والأداء. في هذه الحالة، ستؤثر إدارة الثغرة المتعلقة بـ GoFetch سلبًا في أداء أجهزة كمبيوتر Mac (لا يبدو أن الأجهزة الأخرى من Apple، مثل أجهزة iPad، قد تأثرت بعد). السرعة هي نقطة البيع بالنسبة إلى مصنعي الرقائق؛ فسرعة الكمبيوتر أمر حيوي للإنتاجية. ولكن هذا يعني أيضًا أن الأمان يأتي في المرتبة الثانية.
بالتضحية بالأمان لصالح الأداء، يتعرض المستخدمون لهجمات على مفاتيح التشفير الخاصة بهم، ما قد يعرض البيانات الحساسة للخطر.
يتطلب إصلاح مشكلة الأمان في تطوير الرقائق أن يشارك المصنعون تفاصيل حول تطوير الرقائق، وهذا يعني أيضًا أنه يمكن تنفيذ إدارة الثغرات في وقت أبكر بكثير. على المدى الطويل، سيؤدي ذلك إلى تحسين الأداء.
GoFetch عيب عتادي، لذا لا يوجد حل سهل له؛ فلا يمكن للمطورين ببساطة تحديث التعليمات البرمجية للبرنامج وإرسالها إلى المستخدمين كما يفعلون مع البرمجيات كخدمة.
صرحت Apple أنه إذا مكن المستخدمون الذين لديهم أجهزة مزودة برقاقة M-3 التوقيت المستقل عن البيانات (DIT)، فسيتمكنون من تعطيل آلية جلب البيانات الاستباقي المعتمد على الذاكرة وإضافة طبقة أمان: "مع تمكين التوقيت المستقل عن البيانات، يستخدم المعالج أطول وقت ممكن في أسوأ الحالات لإكمال التعليمات، بغض النظر عن بيانات الإدخال".
لكن هذا لا يساعد أولئك الذين لديهم أجهزة M1 وM2، ويعترف الباحثون أن تعطيل آلية جلب البيانات الاستباقي المعتمد على الذاكرة هو إجراء جذري لأجهزة M3. ويقترحون أساليب دفاع أخرى تشمل:
حتى وقت كتابة هذا التقرير، لم ترد أي تقارير عن هجوم إلكتروني كبير حول ثغرة GoFetch، ولكنها مسألة وقت فقط. سترغب أي مؤسسة أو مستخدم يستخدم أجهزة Mac في تعزيز دفاعاته والوعي بالمخاطر المحتملة لأن، كما خلص الباحثون، "تشكل آليات جلب البيانات الاستباقي المعتمد على الذاكرة تهديدًا أمنيًا كبيرًا للبرامج الحديثة، ما يعطل مجموعة واسعة من تطبيقات التشفير الحديثة".