苹果M1芯片惊现“难以修复”漏洞：ARM处理器或集体沦陷

据媒体报道，最近几天，麻省理工学院的研究人员发现，苹果的M1芯片有一个无法修补硬件漏洞，攻击者可以利用这个漏洞突破其最后一道安全防线。

报道称，该漏洞存在于苹果M1芯片使用的硬件级安全机制中，该机制名为指针认证mdashmdash这是一种广泛存在于Arm处理器中的硬件安全机制它通过使用加密哈希来验证指针不能被修改，从而保护内存中指针的完整性系统用它来验证程序对受保护指针的使用当使用错误的PAC时，程序会崩溃

根据Arm之前公布的信息，PAC最大限度地减少了攻击面，降低了60%以上的返回式编程的漏洞，降低了40%以上的跳转式编程的漏洞。

如果是Arm CPU同时使用PAC和分支目标标识符作为硬件安全机制，可以进一步提高安全性Glibc中可供攻击者使用的小工具数量减少了约98%，而代码大小仅增加了约2%

可是，麻省理工学院计算机科学和人工智能实验室的研究人员Joseph Ravichandran，Weon Taek Na，Jay Lang和Yan创造了一种新颖的硬件攻击方法，该方法结合了内存损坏和推测性执行攻击，以逃避安全功能。

该攻击表明指针认证可以被无痕迹地攻破，并且由于它是一种硬件安全机制，苹果将无法通过更新M1芯片的软件补丁来修复它。

麻省理工学院CSAIL的研究团队将其攻击方法称为Pacman它利用硬件侧通道攻击暴力破解PAC值，压制崩溃，从而开始链式攻击，最终构造控制流劫持攻击。

PAC的规模比较小，直接的暴力攻击会导致足够多的崩溃来检测恶意行为mdashmdash更不用说重启程序会导致PAC被刷新而Pacman攻击的关键是利用推测执行攻击，通过微架构侧信道秘密泄露PAC验证结果，而不会导致崩溃论文解释道

指针认证背后的思想是，如果所有其他防御方法都失败了，您仍然可以依靠它来防止攻击者控制您的系统约瑟夫·拉维钱德兰补充道:可是，我们已经证明，作为最后一道防线的指针认证并不像我们曾经认为的那样安全

到目前为止，苹果已经在所有基于Arm架构的定制芯片中内置了PAC功能，包括M1，M1 Pro和M1 Max此外，包括高通和三星在内的许多其他芯片制造商已经宣布或预计将推出支持这一硬件级安全功能的新处理器

虽然麻省理工学院CSAIL的研究人员表示，苹果刚刚发布的M2芯片尚未经过测试，但它也支持PAC功能。

根据之前Arm公布的信息，不仅基于Armv8.3/8.6指令集的CPU内置了PAC功能，最新Armv9指令集的CPU也内置了PAC功能。

麻省理工学院CSAIL的研究人员在研究论文中说:如果我们不解决这个问题，我们发现的攻击方法将在未来几年内影响大多数移动设备，甚至可能影响桌面设备。

根据介绍，研究人员已经向苹果公司展示了他们的研究成果但他们也指出，Pacman攻击无法绕过M1芯片上的所有安全机制，只是针对PAC可以防范的现有漏洞

约瑟夫·拉维钱德兰说:到目前为止，还没有使用Pacman创建端到端攻击，所以没有直接的问题Pacman需要一个现有的软件漏洞来工作mdashmdash攻击者需要能够写入溢出内存攻击者可以利用现有的漏洞和我们所谓的lsquoPacman Gadgetrsquo组合mdashmdash受到攻击的代码序列，允许推测性地使用签名指针

目前，研究团队已将这一问题告知苹果公司，并将在6月18日的计算机架构国际研讨会上披露更多细节。

消息曝光后，苹果发言人斯科特·拉德克利夫回应:我们要感谢研究人员的合作，因为这个概念证明促进了我们对这些技术的理解根据我们的分析和研究人员与我们分享的详细信息，我们得出的结论是，该问题不会对我们的用户造成直接风险，仅靠我们自己绕过操作系统安全保护是不够的

值得一提的是，Pacman是苹果M1芯片中发现的第三个漏洞去年5月，安全研究员Hector Martin发现了一个名为M1RACLES的漏洞，该漏洞允许两个应用程序秘密交换数据

上个月，一个大学团队发现了另一个名为Augury的漏洞，它可以导致芯片泄露静态数据可是，没有可行的方法来利用该漏洞

可是，与前两个漏洞不同的是，Pacman利用了M1本身现有的硬件安全机制PAC，而这一机制也广泛存在于其他基于Arm的处理器中，这使得该漏洞有可能带来更大的影响。