Investigadores descubren una nueva vulnerabilidad de hardware en el chip M1 de Apple

William Shakespeare podría haber estado hablando sobre el chip M1 lanzado recientemente por Apple a través de su prosa en A Midnight Summer’s Dream: «Y aunque es pequeña, es feroz».

Bueno, probablemente no, pero encaja: el software de Apple se ejecuta en pequeños cuadrados magistrales hechos de silicio interno, lo que resulta en rendimiento asombroso con eficiencia energética líder en la industria. A pesar de su potencia, a lo largo de los años no ha habido escasez de quejas por vulnerabilidades, ya que abundan los temores de fugas de datos confidenciales e información personal. Más recientemente, se descubrió que el chip similar a una celebridad tenía una falla de seguridad propia, que rápidamente se consideró inofensivo.

El chip M1 utiliza una función llamada «Autenticación de puntero», que actúa como última línea de defensa contra las vulnerabilidades típicas del software. Con la Autenticación de puntero habilitada, los errores que normalmente podrían comprometer un sistema o filtrar información privada se detienen en seco. Ahora, los investigadores del Laboratorio de Ciencias de la Computación e Inteligencia Artificial del MIT han encontrado una grieta: su nuevo ataque de hardware, llamado «PACMAN», muestra que la Autenticación de puntero puede ser derrotada sin siquiera dejar rastro. Además, PACMAN utiliza un mecanismo de hardware, por lo que ningún parche de software puede solucionarlo.

Un código de autenticación de puntero, o «PAC» para abreviar, es una firma que confirma que el estado del programa no se ha cambiado de forma malintencionada. Introduzca el ataque PACMAN. El equipo demostró que es posible «adivinar» un valor para el PAC y revelar si la suposición fue correcta o no a través de un canal del lado del hardware. Y dado que solo hay una cantidad limitada de valores posibles para el PAC, descubrieron que es posible probarlos todos para encontrar el correcto. Lo que es más importante, dado que todas las conjeturas ocurren bajo ejecución especulativa, el ataque no deja rastro.

«La idea detrás de la autenticación de puntero es que si todo lo demás ha fallado, aún puede confiar en ella para evitar que los atacantes obtengan el control de su sistema. Hemos demostrado que la autenticación de puntero como última línea de defensa no es tan absoluta como pensamos una vez pensé que lo era», dice MIT CSAIL Ph.D. estudiante Joseph Ravichandran, coautor principal de un nuevo artículo sobre PACMAN. «Cuando se introdujo la autenticación de puntero, toda una categoría de errores de repente se volvió mucho más difícil de usar para los ataques. Con PACMAN haciendo que estos errores sean más serios, la superficie de ataque general podría ser mucho mayor».

Un ataque con hardware y software

Tradicionalmente, los ataques de hardware y software han vivido vidas un tanto separadas. La gente ve sus errores de software como errores de software y los errores de hardware como errores de hardware. Existe este mundo tradicional de amenazas de software arquitectónicamente visibles: piense en los intentos maliciosos de phishing, malware, denegación de servicio y similares. En el lado del hardware, está el muy comentado reino Spectre and Meltdown de 2018, donde manipulas estructuras de microarquitectura para robar datos de las computadoras.

El equipo quería ver qué se podría lograr al combinar los dos: tomar algo del mundo de la seguridad del software y romper una mitigación (una función diseñada para proteger el software), usando ataques de hardware. «Ese es el corazón de lo que representa PACMAN: una nueva forma de pensar sobre cómo los modelos de amenazas convergen en la era de Spectre», dice Ravichandran.

PACMAN no es un bypass mágico para toda la seguridad en el chip M1. PACMAN solo puede tomar un error existente contra el que protege la autenticación de puntero y liberar el verdadero potencial de ese error para usarlo en un ataque al encontrar el PAC correcto. No hay motivo de alarma inmediata, dicen los científicos, ya que PACMAN no puede comprometer un sistema sin un error de software existente.

La autenticación de puntero se usa principalmente para proteger el núcleo del sistema operativo central, la parte más privilegiada del sistema. Un atacante que obtiene el control del kernel puede hacer lo que quiera en un dispositivo. El equipo demostró que el ataque PACMAN incluso funciona contra el kernel, lo que tiene «implicaciones enormes para el trabajo de seguridad futuro en todos los sistemas ARM con autenticación de puntero habilitada. Los futuros diseñadores de CPU deben tener cuidado de considerar este ataque al construir los sistemas seguros del mañana». dice Ravichandran. «Los desarrolladores deben tener cuidado de no confiar únicamente en la autenticación de puntero para proteger su software».

«Las vulnerabilidades de software han existido durante aproximadamente 30 años. Los investigadores han encontrado formas de mitigarlas utilizando varias técnicas innovadoras, como la autenticación de puntero ARM, que estamos atacando ahora. Nuestro trabajo proporciona información sobre cómo las vulnerabilidades de software que continúan existiendo son importantes. los métodos de mitigación se pueden eludir a través de ataques de hardware», dice Mengjia Yan, profesora y autora del MIT. «Es una nueva forma de ver este modelo de amenazas de seguridad de larga duración. Existen muchos otros mecanismos de mitigación que no están bien estudiados bajo este nuevo modelo de amenazas compuestas, por lo que consideramos el ataque PACMAN como un punto de partida. Esperamos que PACMAN pueda inspirar más trabajo en esta dirección de investigación en la comunidad».

El equipo presentará el documento en el Simposio Internacional sobre Arquitectura de Computadores el 18 de junio. Ravichandran y Yan escribieron el artículo junto con el primer coautor Weon Taek Na, estudiante de doctorado de MIT CSAIL y Jay Lang, estudiante de pregrado de MIT.

Proporcionado por el Laboratorio de Ciencias de la Computación e Inteligencia Artificial del MIT