Logo nl.androidermagazine.com
Logo nl.androidermagazine.com
» Help & Hoe
Help & Hoe

Meltdown hack en spectre bug: hoe het Android- en Chrome-gebruikers beïnvloedt

Meltdown hack en spectre bug: hoe het Android- en Chrome-gebruikers beïnvloedt

Inhoudsopgave:

Anonim

Je hebt misschien gehoord dat de lucht is gevallen en de beveiligingsapocalyps is gebeurd vanwege twee nieuwe aanvallen genaamd Meltdown en Spectre. Als je in IT of een ander deel van een grootschalige computerinfrastructuur werkt, heb je waarschijnlijk het gevoel dat dit ook zo is en kijk je al uit naar je vakantiedagen van 2018.

Mediakanalen hoorden eind 2017 voor het eerst geruchten over deze moeder-van-alles-exploit en recente rapporten waren enorm speculatief en dwongen bedrijven als Microsoft, Amazon en Google (wiens Project Zero-team alles ontdekte) uiteindelijk om met details te reageren. Die details hebben voor een interessant boek gezorgd als je geïnteresseerd bent in dit soort dingen.

Maar voor iedereen, ongeacht welke telefoon of computer u gebruikt, klinkt veel van wat u leest of hoort, alsof het in een andere taal is. Dat komt omdat het zo is, en tenzij je vloeiend cyber-geek-security-techno-speak bent, moet je het misschien door een soort vertaler laten lopen.

Goed nieuws! U hebt die vertaler gevonden, en dit is wat u moet weten over Meltdown en Spectre, en wat u eraan moet doen.

Wat zij zijn

Meltdown en Spectre zijn twee verschillende dingen, maar omdat ze tegelijkertijd werden onthuld en beide betrekking hebben op microprocessorarchitectuur op hardwareniveau, wordt er samen over gesproken. De telefoon die u nu gebruikt, wordt vrijwel zeker beïnvloed door de Spectre-exploit, maar niemand heeft een manier gevonden om deze te gebruiken - nog niet.

De processor in je telefoon bepaalt hoe kwetsbaar deze is voor dit soort exploits, maar het is veiliger om aan te nemen dat ze allemaal invloed op je hebben als je niet zeker bent. En omdat ze geen bug exploiteren en in plaats daarvan een proces gebruiken dat zou moeten gebeuren, is er geen eenvoudige oplossing zonder software-update.

Kijk naar de telefoon in je handen; het is kwetsbaar voor sommige van deze aanvallen.

Computers (dit geldt ook voor telefoons en andere kleine computers) vertrouwen op wat geheugenisolatie wordt genoemd voor beveiliging tussen applicaties. Niet het geheugen dat wordt gebruikt om gegevens op de lange termijn op te slaan, maar het geheugen dat wordt gebruikt door hardware en software terwijl alles in realtime werkt. Processen slaan gegevens gescheiden van andere processen op, dus geen ander proces weet waar of wanneer het wordt geschreven of gelezen.

De apps en services die op uw telefoon worden uitgevoerd, willen allemaal dat de processor wat werk doet en geeft hem voortdurend een lijst met dingen die hij moet berekenen. De processor voert deze taken niet uit in de volgorde waarin ze worden ontvangen - dat zou betekenen dat sommige delen van de CPU inactief zijn en wachten tot andere delen zijn voltooid, dus stap twee kan worden gedaan nadat stap één is voltooid. In plaats daarvan kan de processor vooruit gaan naar stap drie of stap vier en ze van tevoren doen. Dit wordt out-of-order-uitvoering genoemd en alle moderne CPU's werken op deze manier.

Meltdown en Spectre exploiteren geen bug - ze vallen de manier aan waarop een processor gegevens berekent.

Omdat een CPU sneller is dan welke software dan ook, is het ook een beetje gissen. Speculatieve uitvoering is wanneer de CPU een berekening uitvoert die nog niet werd gevraagd op basis van eerdere berekeningen die werd gevraagd uit te voeren. Onderdeel van het optimaliseren van software voor betere CPU-prestaties is het volgen van een paar regels en instructies. Dit betekent meestal dat er een normale workflow wordt gevolgd en dat een CPU vooruit kan springen om gegevens gereed te hebben wanneer de software daarom vraagt. En omdat ze zo snel zijn, als de gegevens toch niet nodig waren, worden ze opzij gegooid. Dit is nog steeds sneller dan wachten op het verzoek om een ​​berekening uit te voeren.

Deze speculatieve uitvoering biedt zowel Meltdown als Spectre toegang tot gegevens waar ze anders niet bij zouden kunnen, hoewel ze het op verschillende manieren doen.

kernsmelting

Intel-processors, Apple's nieuwere A-serie processors en andere ARM SoC's die de nieuwe A75-kern gebruiken (voorlopig alleen de Qualcomm Snapdragon 845) zijn kwetsbaar voor de Meltdown-exploit.

Meltdown maakt gebruik van wat een "privilege escalatiefout" wordt genoemd dat een toepassing toegang tot kernelgeheugen geeft. Dit betekent dat elke code die toegang kan krijgen tot dit geheugengebied - waar de communicatie tussen de kernel en de CPU plaatsvindt - in wezen toegang heeft tot alles wat nodig is om elke code op het systeem uit te voeren. Wanneer u elke code kunt uitvoeren, hebt u toegang tot alle gegevens.

Spook

Spectre beïnvloedt bijna elke moderne processor, inclusief die op uw telefoon.

Spectre hoeft geen manier te vinden om code op uw computer uit te voeren, omdat deze de processor kan "misleiden" in het uitvoeren van instructies ervoor en vervolgens toegang geeft tot de gegevens van andere toepassingen. Dit betekent dat een exploit kan zien wat andere apps doen en de gegevens lezen die ze hebben opgeslagen. De manier waarop een CPU instructies buiten gebruik in filialen verwerkt, is waar Spectre aanvalt.

Zowel Meltdown als Spectre kunnen gegevens vrijgeven die in een sandbox moeten worden geplaatst. Ze doen dit op hardwareniveau, zodat uw besturingssysteem u niet immuun maakt - Apple, Google, Microsoft en allerlei open-source Unix- en Linux-besturingssystemen worden evenzeer getroffen.

Vanwege een techniek die bekend staat als dynamische planning waarmee gegevens kunnen worden gelezen terwijl ze worden verwerkt in plaats van dat ze eerst moeten worden opgeslagen, is er voldoende gevoelige informatie in RAM om een ​​aanval te kunnen lezen. Als je geïnteresseerd bent in dit soort dingen, zijn de whitepapers gepubliceerd door de Graz University of Technology fascinerend. Maar u hoeft ze niet te lezen of te begrijpen om uzelf te beschermen.

Heb ik er last van?

Ja. Dat was je tenminste. Kortom, iedereen werd getroffen totdat bedrijven hun software gingen patchen tegen deze aanvallen.

De software die moet worden bijgewerkt, bevindt zich in het besturingssysteem, dus dat betekent dat u een patch van Apple, Google of Microsoft nodig hebt. (Als je een computer gebruikt waarop Linux draait en geen infosec hebt, heb je de patch ook al. Gebruik je software-updater om het te installeren of vraag een vriend die infosec heeft om je te begeleiden bij het updaten van je kernel). Het geweldige nieuws is dat Apple, Google en Microsoft patches hebben die al zijn geïmplementeerd of in de nabije toekomst op weg zijn naar ondersteunde versies.

De details

  • Intel-processors sinds 1995, behalve het Itanium en het ATOM-platform van vóór 2013, worden beïnvloed door zowel Meltdown als Spectre.
  • Alle moderne AMD-processors worden beïnvloed door de Spectre-aanval. AMD PRO en AMD FX (de AMD 9600 R7 en AMD FX-8320 werden als proof-of-concept gebruikt) CPU's in een niet-standaardconfiguratie (kernel BPF JIT ingeschakeld) worden beïnvloed door Meltdown. De verwachting is dat een vergelijkbare aanval tegen geheugenuitlezing via het zijkanaal mogelijk is tegen alle 64-bit CPU's inclusief AMD-processors.
  • ARM-processors met Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 en A75 cores zijn verdacht van Spectre-aanvallen. Processors met Cortex A75 (de Snapdragon 845) kernen zijn kwetsbaar voor Meltdown-aanvallen. Verwacht wordt dat chips die varianten van deze kernen gebruiken, zoals de Snapdragon-lijn van Qualcomm of de Exynos-lijn van Samsung, vergelijkbare of dezelfde kwetsbaarheden zullen hebben. Qualcomm werkt rechtstreeks met ARM en heeft deze verklaring over de problemen:

Qualcomm Technologies, Inc. is op de hoogte van het beveiligingsonderzoek naar industriebrede processorkwetsbaarheden die zijn gemeld. Het leveren van technologieën die robuuste beveiliging en privacy ondersteunen, is een prioriteit voor Qualcomm en daarom hebben we samen met Arm en anderen de impact beoordeeld en mitigaties voor onze klanten ontwikkeld. We zijn actief bezig met het opnemen en inzetten van mitigaties tegen de kwetsbaarheden voor onze getroffen producten, en we blijven werken om deze mogelijk te versterken. We zijn bezig deze beperkende maatregelen in te zetten bij onze klanten en moedigen mensen aan hun apparaten bij te werken wanneer patches beschikbaar komen.

  • NVIDIA heeft vastgesteld dat deze exploits (of andere vergelijkbare exploits die zich kunnen voordoen) geen invloed hebben op GPU-computing, dus hun hardware is meestal immuun. Ze zullen samenwerken met andere bedrijven om stuurprogramma's bij te werken om eventuele CPU-prestatieproblemen te verminderen, en ze evalueren hun ARM-gebaseerde SoC's (Tegra).

  • Webkit, de mensen achter de browser-rendering-engine van Safari en de voorloper van de Blink-engine van Google, hebben een uitstekende analyse van precies hoe deze aanvallen hun code kunnen beïnvloeden. Veel ervan zou van toepassing zijn op elke tolk of compiler en het is een verbazingwekkende lees. Kijk hoe ze eraan werken en voorkomen dat het de volgende keer gebeurt.

In gewoon Engels betekent dit dat je jezelf kwetsbaar moet voelen zonder een update van het besturingssysteem, tenzij je nog steeds een heel oude telefoon, tablet of computer gebruikt. Dit is wat we tot nu toe op dit gebied weten:

  • Google heeft Android gepatcht tegen zowel Spectre- als Meltdown-aanvallen met de patches van december 2017 en januari 2018.
  • Google heeft Chromebooks gepatcht met de 3.18- en 4.4-versies van de kernel in december 2017 met OS 63. Apparaten met andere versies van de kernel (kijk hier om de uwe te vinden) zullen binnenkort worden gepatcht. Eenvoudig gezegd: de Toshiba Chromebook, de Acer C720, Dell Chromebook 13 en de Chromebook Pixels uit 2013 en 2015 (en sommige namen waar u waarschijnlijk nog nooit van heeft gehoord) zijn nog niet gepatcht maar zullen binnenkort beschikbaar zijn. De meeste Chromeboxes, Chromebases en Chromebits zijn niet gepatcht maar zullen binnenkort beschikbaar zijn.
  • Voor Chrome OS-apparaten die niet zijn gepatcht, zal een nieuwe beveiligingsfunctie genaamd Site Isolation eventuele problemen met deze aanvallen verminderen.
  • Microsoft heeft beide exploits vanaf januari 2018 gepatcht.
  • Apple heeft macOS en iOS gepatcht tegen Meltdown vanaf de december-update. De eerste ronde met Spectre-updates werd begin januari uitgezet. Bekijk iMore voor alles wat u moet weten over deze CPU-fouten en hoe deze van invloed zijn op uw Mac, iPad en iPhone.
  • Patches zijn verzonden naar alle ondersteunde versies van de Linux-kernel en besturingssystemen zoals Ubuntu of Red Hat kunnen worden bijgewerkt via de software-updatetoepassing.

Voor Android-specificaties zijn de Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2 en Pixel 2 XL gepatcht en zou je binnenkort een update moeten zien als je deze nog niet hebt ontvangen. Je kunt deze apparaten ook handmatig bijwerken als je wilt. Het Android Open Source-project (de code die wordt gebruikt om het besturingssysteem voor elke Android-telefoon te bouwen) is ook gepatcht en distributies van derden zoals LineageOS kunnen worden bijgewerkt.

Uw Pixel of Nexus handmatig bijwerken

Samsung, LG, Motorola en andere Android-leveranciers (bedrijven die telefoons en tablets en tv's maken) zullen hun producten patchen met de update van januari 2018. Sommigen, zoals de Note 8 of Galaxy S8, zullen dat eerder zien dan anderen, maar Google heeft de patch beschikbaar gemaakt voor alle apparaten. We verwachten meer nieuws van alle partners om ons te laten weten wat we kunnen verwachten en wanneer.

Wat kan ik doen?

Als je een product hebt dat kwetsbaar is, kun je gemakkelijk verstrikt raken in de hype, maar dat zou je niet moeten doen. Zowel Spectre als Meltdown gebeuren niet "gewoon" en zijn afhankelijk van het feit dat u malware installeert die hen gebruikt. Door een paar veilige werkwijzen te volgen, blijft u immuun voor beide exploitaties op computerhardware.

  • Installeer alleen software die u vertrouwt vanaf een plek die u vertrouwt. Dit is altijd een goed idee, maar vooral als u op een patch wacht.
  • Beveilig uw apparaten met een goed vergrendelscherm en codering. Dit doet meer dan alleen een ander buiten houden, omdat applicaties niets kunnen doen terwijl uw telefoon zonder uw toestemming is vergrendeld.
  • Lees en begrijp de machtigingen voor alles wat u op uw telefoon uitvoert of installeert. Wees niet bang om hier om hulp te vragen!
  • Gebruik een webbrowser die malware blokkeert. We kunnen Chrome of Firefox aanbevelen en andere browsers kunnen u ook beschermen tegen webgebaseerde malware. Vraag het aan de mensen die ze maken en verspreiden als je het niet zeker weet. De webbrowser die bij uw telefoon is geleverd, is hier misschien niet de beste optie, vooral als u een ouder model hebt. Edge en Safari worden ook vertrouwd voor Windows- of MacOS- en iOS-apparaten.
  • Open geen links op sociale media, in een e-mail of in een bericht van iemand die u niet kent. Zelfs als ze afkomstig zijn van mensen die u kent, moet u ervoor zorgen dat u uw webbrowser vertrouwt voordat u klikt of tikt. Dit gaat dubbel voor omleidingslinks die een site-URL maskeren. We gebruiken dat soort koppelingen vrij vaak en de kans is groot dat veel online media die u leest ook dat doen. Doe voorzichtig.
  • Doe niet zo stom. Je weet wat dit voor jou betekent. Vertrouw op je oordeel en wees voorzichtig.

Het goede nieuws is dat de manier waarop deze zijkanaalexploitaties worden gepatcht, niet de enorme vertragingen zal veroorzaken die werden gehyped voordat er updates werden uitgebracht. Dat is gewoon hoe het internet werkt, en als je leest hoe je telefoon of computer 30% langzamer zou zijn nadat een oplossing was toegepast, was dat omdat sensatiezucht verkoopt. Gebruikers die bijgewerkte software gebruiken (en tijdens het testen zijn geweest) zien deze gewoon niet.

De patch heeft niet de impact op de prestaties die sommigen beweerden te brengen, en dat is geweldig.

Dit kwam allemaal omdat deze aanvallen nauwkeurige tijdsintervallen meten en de initiële patches de precisie van sommige timingbronnen via software wijzigen of uitschakelen. Minder nauwkeurig betekent langzamer tijdens het computergebruik en de impact was overdreven om veel groter te zijn dan het is. Zelfs de geringe prestatieverminderingen die het gevolg zijn van de patches, worden door andere bedrijven beperkt en we zien NVIDIA de manier bijwerken waarop hun GPU's cijfers kraken of Mozilla werken aan de manier waarop ze gegevens berekenen om het nog sneller te maken. Uw telefoon zal niet langzamer zijn tijdens de patch van januari 2018 en uw computer ook niet tenzij deze erg oud is, althans niet op een merkbare manier.

Maak je geen zorgen meer en zorg ervoor dat je er alles aan doet om je gegevens veilig te houden.

Wat er allemaal van weg te nemen

Beveiligingsschrikken hebben altijd een soort echte impact. Niemand heeft ooit gezien dat Meltdown of Spectre in het wild wordt gebruikt, en omdat de meeste apparaten die we dagelijks gebruiken worden bijgewerkt of zeer binnenkort zullen zijn, zullen rapporten waarschijnlijk zo blijven. Maar dit betekent niet dat ze moeten worden genegeerd.

Neem beveiligingsbedreigingen als deze serieus, maar val niet voor alle hype; wees geïnformeerd!

Deze zijkanaalexploitaties hadden het potentieel om dat grote, serieuze spelveranderende evenement te zijn waar mensen zich zorgen over maken als het gaat om cyberbeveiliging. Elke uitbuiting die hardware beïnvloedt, is serieus en wanneer het iets expres aanvalt in plaats van een bug, wordt het zelfs nog serieuzer. Gelukkig konden onderzoekers en ontwikkelaars Meltdown en Spectre vangen, bevatten en repareren voordat er wijdverbreid gebruik plaatsvond.

Wat hier echt belangrijk is, is dat je de juiste informatie krijgt, zodat je weet wat je moet doen elke keer als je hoort over een nieuwe cyberdreiging die al je digitale dingen wil. Er is meestal een rationele manier om ernstige effecten te verminderen als je eenmaal langs alle krantenkoppen bent gegraven.

Blijf Veilig!

We kunnen via onze links een commissie verdienen voor aankopen. Kom meer te weten.

Help & Hoe

Bewerkers keuze