مدیرعامل یکی از شرکتهای طراح تراشههای موبایل، پس از انتشار خبر وجود یک حفرهی امنیتی خطرناک در تراشهی گوشیهای هوشمند، اعلام کرد که در آینده نیز ممکن است شاهد وجود چنین حفرههایی باشیم. سایمون سگرز، مدیرعامل هولدینگ ARM، طی مصاحبهای که در حاشیهی رویداد CES 2018 با وبسایت سینت داشت، اعلام کرد:
حقیقت این است که احتمالا حفرههای امنیتی دیگری نیز وجود دارند که کماکان از وجود آنها بیخبریم. شخصی که بهصورت مداوم در حال اندیشیدن در خصوص تهدیدهای امنیتی است، احتمالا راههای دیگری برای سوءاستفاده از سیستمها پیدا میکند؛ راههایی که تا پیش از این، کاملا ایمن تصور میشدند.
اوایل ماه ژانویه، خبرهایی مبنی بر کشف چند حفرهی امنیتی در بسیاری از پردازندههای مدرن منتشر شد؛ این حفرههای امنیتی کامپیوترها و ابزارهای موبایل را در برابر حملات هکرها آسیبپذیر میکنند. در حقیقت یک متد طراحی که در تراشههای اینتل، آرم و سایر شرکتهای تولیدکننده استفاده شده است، به هکرها اجازه میدهد به دادههای شخصی کاربران در حافظهی دستگاهها دست پیدا کنند. این حفرهی امنیتی، تمام تراشههایی را که از دو دههی پیش تاکنون تولید شدهاند، با خطر مواجه میکند و هکرها را قادر میکند به رمزهای عبور کاربران، کلیدهای رمزنگاری یا اطلاعات محرمانهی موجود در اپلیکیشنها دسترسی داشته باشند.
آنچه وخامت اوضاع را تشدید میکند، منحصر نبودن حفرههای امنیتی Spectre و Meltdown به تنها یک تراشهساز یا یک دستگاه بهخصوص است. در حقیقت این حفرههای امنیتی تمام دستگاهها از کامپیوترهای شخصی گرفته تا گوشیهای هوشمند و سرورها را تهدید میکنند. در حال حاضر، شرکتهای فعال در حوزهی فناوری در تلاش برای کاهش شدت و گستردگی این حفرههای امنیتی از طریق انتشار بهروزرسانیهای امنیتی برای سیستمهای عامل، مرورگرهای اینترنت، سرویسهای رایانش ابری و دیگر بنیادهایی هستند که باید امن باشند.
سگرز در این خصوص میگوید:
واقعا شگفتانگیز است که مردم برای بهرهبرداری از این حفرههای امنیتی، دست به چه کارهایی زدهاند. تاکنون هیچ فردی متوجه [وجود این حفرههای امنیتی] نشده بود. مانند تمام کشفیات دیگر، آنها تنها زمانی بدیهی به نظر میرسند که وجودشان کشف شده باشد.
۶ میلیارد تراشه
آرم یک شرکت بریتانیایی است که معماریهای آن، پایه و اساس بسیاری از تراشههای موبایل دنیا، نظیر تراشههای سامسونگ و اپل محسوب میشود. موقعیت کلیدی آرم در این صنعت، در سال ۲۰۱۶، سافتبانک، غول ژاپنی حوزهی مخابرات را به تصاحب این شرکت با پرداخت مبلغ ۳۲ میلیارد دلار ترغیب کرد. از زمان تأسیس آرم در سال ۱۹۹۰ تاکنون، این شرکت بیش از ۱۲۰ میلیارد تراشهی آرم را روانهی بازار کرده است.
به گفتهی سگرز، از بین ۱۲۰ میلیارد تراشهی عرضهشده، حدود ۵ درصد یا ۶ میلیارد نمونه از آنها در برابر حفرهی امنیتی Spectre آسیبپذیر هستند. اپل هفتهی گذشته اعلام کرد که تمام دستگاههای مبتنی بر iOS که از تراشههای اپل بر پایهی معماری آرم بهره میبرند و تمام کامپیوترهای مک این شرکت که از تراشههای اینتل بهره میبرند، در مقابل حفرههای امنیتی کشفشده آسیبپذیر هستند.
کوالکام، دیگر مشتری آرم، طی بیانیهای اعلام کرد که از وجود آسیبپذیریها آگاه است و با همکاری آرم و دیگر شرکتها در حال ارزیابی مشکل و توسعهی راهکاری برای حل آن است. کوالکام اوایل ماه جاری، ضمن اشاره به لزوم بهروزرسانی مداوم دستگاهها، اعلام کرد:
ما بهصورت پیوسته در حال کار روی وصلههای امنیتی برای کاهش خطر آسیبپذیری محصولات خود هستیم و به تلاش خود جهت مقاومسازی آنها ادامه میدهیم.
پردازندهی مبتنی بر آرم دیگری نیز وجود دارد که ممکن است در برابر حفرهی امنیتی Meltdown آسیبپذیر باشد؛ اما طبق گفتهی سگرز «این تراشه جدید است و تاکنون در هیچ محصولی استفاده نشده». سگرز اشارهای به سازندهی این پردازنده یا محصول مرتبط با آن نکرده است.
هدف متحرک
سگرز در ماه اکتبر سال گذشتهی میلادی، طی یکی از کنفرانسهای آرم اعلام کرد که «امنیت سایبری یک فاجعه است» و با توجه به پیشرفت هوش مصنوعی و اینترنت اشیاء، باید اقدامی در جهت تغییر وضعیت آن صورت گیرد. آرم معتقد است که علاوه بر نرمافزار دستگاهها، سختافزار آنها نیز باید امن شود.
اما سرانجام متد طراحی یادشده که در برابر حفرههای امنیتی Spectre و Meltdown آسیبپذیر است، چه خواهد شد؟ بهگفتهی سگرز، شرکتهای تولیدکننده از بهکار بردن آن در پردازندههای خود دست نخواهند کشید. افزایش سرعت حاصل از بهکارگیری این متد بهاندازهای زیاد است که حذف آن از تراشههای بالارده توجیهپذیر نیست. سگرز در ادامه گفت:
اما آنچه مشاهده میکنید، سیستمی با ترکیب سختافزار و نرمافزار است. چگونگی توسعه و آزمایش [این متد] بهگونهای تکامل پیدا خواهد کرد که از درک کامل ریسکهای استفاده از آن، اطمینان کامل حاصل شود.
در حال حاضر آرم در خصوص چگونگی تغییر معماری تراشهها یا نرمافزار آن، بهگونهای که در آینده از ریسک مواجهه با تهدیدهای امنیتی جلوگیری شود، تصمیمگیری نکرده است؛ اما بهگفتهی سگرز، در کنار اِعمال تغییراتی در پردازندهها، این شرکت تغییراتی در پرسنل خود ایجاد خواهد کرد، در صورت لزوم شرکتهای دیگر را به تصاحب درخواهد آورد و زمان بیشتری صرف آزمودن آسیبپذیریهای بالقوه خواهد کرد.
اما سگرز در خصوص اینکه چرا خود آرم، حفرههای امنیتی یادشده را شناسایی نکرده و توسط پژوهشگرهای حوزهی امنیت از وجود آنها مطلع شده است، میگوید:
آنچه این رخداد نشان میدهد، این است که دنیای امنیت یک هدف متحرک به شمار میآید. درست زمانی که تصور میکنید همهچیز تحت کنترل شما است، [مشکل دیگری] از راه میرسد.
منبع :زومیت