Una grave falla di sicurezza chiamata “GoFetch” colpisce i chip Apple M1, M2 e M3. La vulnerabilità permette di rubare informazioni crittografiche dalla cache della CPU, compromettendo la sicurezza dei dati sensibili.
Una grave vulnerabilità di sicurezza, soprannominata “GoFetch“, è stata scoperta nei processori Apple M1, M2 e M3, ponendo un rischio per la sicurezza delle informazioni crittografiche. Secondo quanto riportato da Ars Technica, i ricercatori hanno identificato una falla nel prefetcher dipendente dalla memoria (DMP) di questi chip, che consente a un programma maligno di caricare dati sensibili non autorizzati nella cache della CPU, facilitandone il furto.
La vulnerabilità compromette tanto gli algoritmi di crittografia convenzionali quanto le chiavi a 2.048 bit, pensate per essere resistenti agli attacchi quantistici. Tutto avviene bypassando le misure di sicurezza basate sulla programmazione a tempo costante, una tecnica comunemente utilizzata per proteggere i dati sensibili da potenziali furti.
Al momento, l’unica soluzione per mitigare il rischio è implementare delle contromisure a livello software, che potrebbero però ridurre le prestazioni dei dispositivi che montano i processori M1, M2 e M3. Una delle proposte per controllare la falla è limitare l’esecuzione del software di crittografia ai core E del processore, i quali non sono influenzati dalla vulnerabilità. Questo approccio, tuttavia, comporterà inevitabilmente una riduzione delle prestazioni di crittografia e decrittografia.
Interessante notare che il chip M3 di Apple dispone di un meccanismo di disattivazione del prefetching dipendente dalla memoria dati, il che potrebbe rappresentare una soluzione parziale, anche se resta incerto l’impatto sulle prestazioni generali del dispositivo. A differenza dei chip di Apple, i processori Intel Raptor Lake, nonostante utilizzino un meccanismo simile di prefetching, non sono soggetti a questa vulnerabilità.
Nonostante l’importanza critica di questa scoperta, Apple non ha ancora annunciato una data ufficiale per la correzione del problema. Ad ogni modo, data la gravità della vulnerabilità, si prevede che l’azienda lavorerà per rilasciare un aggiornamento correttivo entro l’anno.
La scoperta di “GoFetch” è stata resa possibile grazie agli sforzi congiunti di ricercatori provenienti da prestigiose istituzioni, tra cui le università dell’Illinois Urbana-Champaign, del Texas ad Austin, del Georgia Institute of Technology, della California a Berkeley, di Washington e di Carnegie Mellon.