Akademisyenlerin yeni bulguları, Apple’ın M serisi çiplerinde kötü niyetli kişilerin MacBook cihazlarından gizli şifreleme anahtarlarına erişebilmelerini sağlayabilecek ciddi bir güvenlik açığını ortaya çıkardı. Amerika Birleşik Devletleri merkezli birçok üniversiteden bir grup araştırmacı tarafından 21 Mart’ta yayınlanan raporda Apple çipleri yaygın olarak kullanılan kriptografik protokolleri çalıştırdığında bilgisayar korsanlarının uçtan uca şifreleme anahtarlarını yasadışı bir şekilde elde etmelerine olanak tanıyan bir yan kanal saldırı türü olarak tanımlandı.
Apple’ın M Serisi Çiplerinde Güvenlik Açığı
Konuya ilişkin doğrudan yamalarla giderilebilen geleneksel güvenlik açıklarının aksine bu özel sorun silikonun mikro mimari tasarımında derin bir şekilde kök salması ile biliniyor ve bu da onu yama yapılamaz hale getiriyor. Açığı düzgün bir şekilde ele almak için üçüncü taraf kriptografik yazılımların kullanılması gerekecek ve Apple M serisi çiplerin, özellikle de M1 ve M2 yongaları gibi önceki yinelemelerin performansını ciddi şekilde engelleyebilecek.
Bu bulgular, Apple’ın donanım güvenliği altyapısı için büyük bir kusuru ve zorluğu vurguluyor. Bilgisayar korsanları, kriptografik uygulamalar tarafından kullanılan şifreleme anahtarları gibi hassas bilgileri elde etmek için bellek erişim modellerine müdahale edebilir ve bunlardan yararlanabilir. Araştırmacılar bu tür bir saldırıya GoFetch saldırısı adını verdiler. Saldırı, kullanıcı ortamında sorunsuz bir şekilde işliyor ve normal uygulamaların ihtiyaç duyduğuna benzer şekilde yalnızca standart kullanıcı ayrıcalıkları gerektiriyor.
Konuya Yönelik Dikkat Çeken Detaylar
Araştırmanın ortaya çıkmasının ardından çevrimiçi Mac forumlarındaki kullanıcılar, parola anahtar zincirleri konusunda artık büyük bir endişe ya da gerekli eylem için bir neden olup olmadığını sorgulamaya başladı. Bir kullanıcı, Apple’ın sorunu doğrudan işletim sistemi içinde hafifleteceğine inandıklarını, aksi takdirde daha endişeli olacaklarını söyledi.
Başka bir kullanıcı bu açığın Apple tarafından bir süredir bilindiğini söyledi ve Apple’ın M3 çipinde DMP’yi devre dışı bırakmak için ek bir talimat bulunmasının nedeninin bu olabileceğine dikkat çekti. Kullanıcı, konuyla ilgili önceki araştırmanın kehanet olarak adlandırıldığını ve 2022’ye kadar uzandığını söyledi.
Bu veri Apple’ın kendisini, Apple App Store kuralları ve tekelinin rekabeti yasadışı bir şekilde azalttığını ve yeniliği boğduğunu iddia eden ABD Adalet Bakanlığı ile kapsamlı bir sürecin içinde bulmasıyla ortaya çıktı. ABD Adalet Bakanlığı ayrıca Apple’ın çok çeşitli gelişmiş özellikler sağlayan rakip kripto cüzdanlara erişimi kestiğini ve geliştiricilerin kullanıcılara kendi ödeme hizmetlerini sunmalarını engellediğini iddia etti.
