gli aggiornamenti

Falla nei chip, Apple ‘Colpiti iPhone, iPad e Mac, ma già le patch’. Come metterli in sicurezza senza rallentarli

di |

Apple ha ammesso: ‘Tranne lo smartwatch, tutti gli iPhone, iPad e Mac sono interessati’ dalla falla di sicurezza nei processori delle principali aziende di microchip (Intel, Arm e Amd). E ha già rilasciato le ‘patch’ (da scaricare solo da App Store) per proteggere i dispositivi. Nei prossimi giorni penserà anche a Safari.

Dopo ore interminabili di silenzio Apple l’ha ammesso. “Tutti i sistemi Mac e i dispositivi iOS (quindi iPhone e iPad) sono interessati da Meltdown e Spectre”, la grave falla di sicurezza nei processori delle principali aziende di microchip (Intel, Arm e Amd).

La società, in un comunicato, ha dichiarato di aver già rilasciato le “patch” (le pezze che risolvono il problema o, almeno, lo “mitigano” in iOS 11.2, macOS 10.13.2 e tvOS 11.2 “per aiutare a difendersi da Meltdown. Apple Watch non è interessato da Meltdown”.

“Nei prossimi giorni – ha aggiunto Apple – pensiamo di rilasciare ‘mitigazioni’ per Safari per difendersi da Spectre”.

 

Per mettere in sicurezza i dispositivi Apple scaricare gli aggiornamenti solo da App Store, che non rallentano le performance

Apple da una parte cerca di tranquillizzare dicendo che “al momento non ci sono casi noti che influenzano i clienti” dall’altro continuerà a sviluppare e testare ulteriori attenuazioni per questi problemi e nei prossimi giorni renderà disponibili gli aggiornamenti di iOS, macOS, tvOS e watchOS. Mac e iOS. Inoltre mette in guardia i clienti consigliando di scaricare le patch, le ‘pezze’, per mettere in sicurezza iPhone, iPad e Mac, “solo da fonti attendibili come App Store”. La mela morsicata ha assicurato che i “rattoppi” al software di base non hanno un impatto misurabile sulle performance dei sistemi.

 

Cosa è successo esattamente nei processori Intel, Arm e Amd

 Apple, nel comunicato, spiega tecnicamente come è stata scoperta e perché la falla dei chip è potenzialmente pericolosa per i dati degli utenti.

Le falle si sono aperte a livello di un meccanismo geniale ideato per rendere più veloci i nostri computer. I chip di Intel sono infatti in grado di provare a prevedere (in base alle nostre abitudini) quello che stiamo per fare. Ossia, quando iniziamo un’operazione, il computer va avanti sulla strada che “prevede” sia quella che probabilmente intendiamo seguire: se la previsione è giusta prosegue, altrimenti cambierà direzione lasciando perdere le operazioni avviate. Proprio qui in questa straordinaria funzione denominata “esecuzione speculativa” si anniderebbero le falle scoperte dai ricercatori del Project Zero di Google.

“I problemi Meltdown e Spectre”, spiega Apple, “sfruttano una moderna funzione di prestazioni della CPU chiamata esecuzione speculativa. L’esecuzione speculativa migliora la velocità operando su più istruzioni contemporaneamente, possibilmente in un ordine diverso rispetto a quando sono entrate nella CPU. Per aumentare le prestazioni, la CPU predice quale traiettoria di un ramo è più probabile che verrà presa e continuerà a eseguire l’esecuzione speculativa su tale percorso ancor prima che il ramo sia completato. Se la previsione era sbagliata, questa esecuzione speculativa viene annullata in un modo che è destinato ad essere invisibile al software. Meltdown e Spectre sfruttano l’esecuzione speculativa per accedere alla memoria privilegiata”…

È ‘Meltdown’ che può consentire a un processo utente di leggere la memoria del kernel

Meltdown consente il furto di dati sensibili, password e informazioni sulle transazioni online. “Meltdown”, racconta la società di Cupertino, “è il nome dato a una tecnica di sfruttamento nota come CVE-2017-5754 o ‘carico di cache di dati non autorizzati’. La tecnica Meltdown può consentire a un processo utente di leggere la memoria del kernel. La nostra analisi suggerisce che ha il maggior potenziale per essere sfruttato (da eventuali hacker, ndr). Apple ha rilasciato le mitigazioni per Meltdown in iOS 11.2, macOS 10.13.2 e tvOS 11.2. watchOS non ha richiesto interventi. I nostri test con benchmark pubblici hanno dimostrato che le modifiche apportate agli aggiornamenti di dicembre 2017 non hanno determinato una riduzione misurabile delle prestazioni di macOS e iOS, come misurato dal benchmark GeekBench 4, o nei comuni benchmark di navigazione Web come Speedometer, JetStream e ARES- 6″.

Ecco Meltdown in azione

Spectre arriva alla memoria del kernel perché agisce in JavaScript in esecuzione in un browser web

Spectre consente di copiare ogni operazione che passa dal microchip.”Spectre”, spiega bene Apple, “è il nome che copre due diverse tecniche di sfruttamento conosciute come CVE-2017-5753 o “bounds check bypass” e CVE-2017-5715 o “injection target injection”. Queste tecniche potenzialmente rendono gli elementi nella memoria del kernel disponibili per i processi dell’utente sfruttando un ritardo nel tempo necessario alla CPU per verificare la validità di una chiamata di accesso alla memoria. L’analisi di queste tecniche ha rivelato che mentre sono estremamente difficili da sfruttare, anche da un’app eseguita localmente su un dispositivo Mac o iOS, possono essere potenzialmente sfruttate in JavaScript in esecuzione in un browser web. Apple rilascerà un aggiornamento per Safari su macOS e iOS nei prossimi giorni per mitigare queste tecniche di exploit. I nostri test attuali indicano che le imminenti mitigazioni di Safari non avranno alcun impatto misurabile sui tachimetri e sui test ARES-6 e un impatto inferiore al 2,5% sul benchmark JetStream. Continuiamo a sviluppare e testare ulteriori attenuazioni all’interno del sistema operativo per le tecniche Spectre e le pubblicheremo nei prossimi aggiornamenti di iOS, macOS, tvOS e watchOS”.

La replica di Intel

Intel, il leader mondiale dei microchip spiega che il problema può essere parzialmente risolto con un aggiornamento software, una “patch”. Questo eviterebbe nel 90% dei casi la sostituzione dell’hardware, ossia del microprocessore. Le “patch” inoltre non rallenterebbero le prestazioni dei computer, spiega Intel, smentendo i timori al riguardo.

Per approfondire: