حفره‌های امنیتی مشابه Spectre کاملا امن نخواهند بود

نوشته شده توسط :
حفره‌های امنیتی مشابه Spectre کاملا امن نخواهند بود

مدیرعامل یکی از شرکت‌های طراح تراشه‌های موبایل، پس از انتشار خبر وجود یک حفره‌ی امنیتی خطرناک در تراشه‌ی گوشی‌های هوشمند، اعلام کرد که در آینده نیز ممکن است شاهد وجود چنین حفره‌هایی باشیم. سایمون سگرز، مدیرعامل هولدینگ ARM، طی مصاحبه‌ای که در حاشیه‌ی رویداد CES 2018 با وب‌سایت سی‌نت داشت، اعلام کرد:

حقیقت این است که احتمالا حفره‌های امنیتی دیگری نیز وجود دارند که کماکان از وجود آن‌ها بی‌خبریم. شخصی که به‌صورت مداوم در حال اندیشیدن در خصوص تهدید‌های امنیتی است، احتمالا راه‌های دیگری برای سوءاستفاده از سیستم‌ها پیدا می‌کند؛ راه‌هایی که تا پیش از این، کاملا ایمن تصور می‌شدند.

اوایل ماه ژانویه‌، خبرهایی مبنی بر کشف چند حفره‌ی امنیتی در بسیاری از پردازنده‌های مدرن منتشر شد؛ این حفره‌های امنیتی کامپیوترها و ابزارهای موبایل را در برابر حملات هکرها آسیب‌پذیر می‌کنند. در حقیقت یک متد طراحی که در تراشه‌‌های اینتل، آرم و سایر شرکت‌های تولیدکننده استفاده شده است، به هکرها اجازه می‌دهد به داده‌های شخصی کاربران در حافظه‌ی دستگاه‌‌ها دست پیدا کنند. این حفره‌ی امنیتی، تمام تراشه‌هایی را که از دو دهه‌ی پیش تاکنون تولید شده‌اند، با خطر مواجه می‌کند و هکرها را قادر می‌کند به رمزهای عبور کاربران، کلیدهای رمزنگاری یا اطلاعات محرمانه‌ی موجود در اپلیکیشن‌ها دسترسی داشته باشند.

آنچه وخامت اوضاع را تشدید می‌کند، منحصر نبودن حفره‌های امنیتی Spectre و Meltdown‌ به تنها یک تراشه‌ساز یا یک دستگاه به‌خصوص است. در حقیقت این حفره‌های امنیتی تمام دستگاه‌ها از کامپیوترهای شخصی گرفته تا گوشی‌های هوشمند و سرورها را تهدید می‌کنند. در حال حاضر، شرکت‌های فعال در حوزه‌ی فناوری در تلاش برای کاهش شدت و گستردگی این حفره‌های امنیتی از طریق انتشار به‌روزرسانی‌های امنیتی برای سیستم‌های عامل، مرورگرهای اینترنت، سرویس‌های رایانش ابری و دیگر بنیادهایی هستند که باید امن باشند.

سگرز در این خصوص می‌گوید:

واقعا شگفت‌انگیز است که مردم برای بهره‌برداری از این حفره‌های امنیتی، دست به چه کارهایی زده‌اند. تاکنون هیچ فردی متوجه [وجود این حفره‌های امنیتی] نشده بود. مانند تمام کشفیات دیگر، آن‌ها تنها زمانی بدیهی به‌ نظر می‌رسند که وجودشان کشف شده باشد.

۶ میلیارد تراشه
آرم یک شرکت بریتانیایی است که معماری‌های آن، پایه‌ و اساس بسیاری از تراشه‌های موبایل دنیا، نظیر تراشه‌های سامسونگ و اپل محسوب می‌شود. موقعیت کلیدی آرم در این صنعت، در سال ۲۰۱۶، سافت‌بانک، غول ژاپنی حوزه‌ی مخابرات را به تصاحب این شرکت با پرداخت مبلغ ۳۲ میلیارد دلار ترغیب کرد. از زمان تأسیس آرم در سال ۱۹۹۰ تاکنون، این شرکت بیش از ۱۲۰ میلیارد تراشه‌ی آرم را روانه‌ی بازار کرده است.

به گفته‌ی سگرز، از بین ۱۲۰ میلیارد تراشه‌ی عرضه‌شده، حدود ۵ درصد یا ۶ میلیارد نمونه از آن‌ها در برابر حفره‌ی امنیتی Spectre آسیب‌پذیر هستند. اپل هفته‌ی گذشته اعلام کرد که تمام دستگاه‌های مبتنی بر iOS که از تراشه‌های اپل بر پایه‌ی معماری آرم بهره می‌برند و تمام کامپیوترهای مک این شرکت که از تراشه‌های اینتل بهره می‌برند، در مقابل حفره‌های امنیتی کشف‌شده آسیب‌پذیر هستند.

کوالکام، دیگر مشتری آرم، طی بیانیه‌ای اعلام کرد که از وجود آسیب‌پذیری‌ها آگاه است و با همکاری آرم و دیگر شرکت‌ها در حال ارزیابی مشکل و توسعه‌ی راهکاری برای حل آن است. کوالکام اوایل ماه جاری، ضمن اشاره به لزوم به‌روزرسانی مداوم دستگاه‌ها، اعلام کرد:

ما به‌صورت پیوسته در حال کار روی وصله‌های امنیتی برای کاهش خطر آسیب‌پذیری محصولات خود هستیم و به تلاش خود جهت مقاوم‌سازی آن‌ها ادامه می‌دهیم.

پردازنده‌ی مبتنی بر آرم دیگری نیز وجود دارد که ممکن است در برابر حفره‌ی امنیتی Meltdown آسیب‌پذیر باشد؛ اما طبق گفته‌ی سگرز «این تراشه جدید است و تاکنون در هیچ محصولی استفاده نشده». سگرز اشاره‌ای به سازنده‌ی این پردازنده یا محصول مرتبط با آن نکرده است.

هدف متحرک
سگرز در ماه اکتبر سال گذشته‌ی میلادی، طی یکی از کنفرانس‌های آرم اعلام کرد که «امنیت سایبری یک فاجعه است» و با توجه به پیشرفت هوش مصنوعی و اینترنت اشیاء، باید اقدامی در جهت تغییر وضعیت آن صورت گیرد. آرم معتقد است که علاوه‌ بر نرم‌افزار دستگاه‌ها، سخت‌افزار آن‌ها نیز باید امن شود.

اما سرانجام متد طراحی یادشده که در برابر حفره‌های امنیتی Spectre و Meltdown آسیب‌پذیر است، چه خواهد شد؟ به‌گفته‌ی سگرز، شرکت‌های تولیدکننده از به‌کار بردن آن در پردازنده‌های خود دست نخواهند کشید. افزایش سرعت حاصل از به‌کارگیری این متد به‌اندازه‌ای زیاد است که حذف آن از تراشه‌های بالارده توجیه‌پذیر نیست. سگرز در ادامه گفت:

اما آنچه مشاهده می‌کنید، سیستمی با ترکیب سخت‌افزار و نرم‌افزار است. چگونگی توسعه و آزمایش [این متد] به‌گونه‌ای تکامل پیدا خواهد کرد که از درک کامل ریسک‌های استفاده از آن، اطمینان کامل حاصل شود.

در حال حاضر آرم در خصوص چگونگی تغییر معماری تراشه‌ها یا نرم‌افزار آن، به‌گونه‌ای که در آینده از ریسک مواجهه با تهدید‌های امنیتی جلوگیری شود، تصمیم‌گیری نکرده است؛ اما به‌گفته‌ی سگرز، در کنار اِعمال تغییراتی در پردازنده‌ها، این شرکت تغییراتی در پرسنل خود ایجاد خواهد کرد، در صورت لزوم شرکت‌های دیگر را به تصاحب درخواهد آورد و زمان بیشتری صرف آزمودن آسیب‌پذیری‌های بالقوه خواهد کرد.

اما سگرز در خصوص اینکه چرا خود آرم، حفره‌های امنیتی یادشده را شناسایی نکرده و توسط پژوهشگرهای حوزه‌ی امنیت از وجود آن‌ها مطلع شده است، می‌گوید:

آنچه این رخداد نشان می‌دهد، این است که دنیای امنیت یک هدف متحرک به شمار می‌آید. درست‌ زمانی که تصور می‌کنید همه‌چیز تحت کنترل شما است، [مشکل دیگری] از راه می‌رسد.

 

منبع :زومیت