Yeni ortaya çıkan ve “GoFetch” adı verilen donanım seviyesindeki kritik bir güvenlik açığı, saldırganların şifreleme anahtarlarını çalmalarına olanak tanıyor. İşin kötüsü ise, bu açığın bir yamayla kapatılması pek mümkün görünmüyor.
Apple'ın M1 işlemcili Mac ve daha yeni modellerinde bilgisayar korsanlarının şifreleme anahtarlarını çalmasına izin veren yeni bir güvenlik açığı bulundu. Bu sorun yamalanamadığından her Mac kullanıcısı tehlike altında olsa da bu korkmanız gerektiği anlamına gelmiyor.
Ars Technica tarafından yayınlanan akademik bir araştırma makalesi, M1 Mac ve daha yeni modellerden şifreleme anahtarlarını çıkarabilen bu yamalanamayan güvenlik açığını ortaya çıkardı. Araştırmacılar bu güvenlik açığını GoFetch olarak adlandırıyor ve "veri belleğine bağlı ön yükleyiciler (DMP'ler) aracılığıyla sabit zamanlı kriptografik uygulamalardan gizli anahtarları çekebilen bir mikro mimari yan kanal saldırısı" olarak tanımlıyor.
Sorun M1 Mac cihazlarında keşfedilse de M2 ve M3 CPU'larda da aynı açığın olduğu belirtiliyor. Bununla birlikte M1 Max, M2 Pro gibi diğer çip varyantları henüz test edilmiş değil, ancak araştırmacılar bunların da istismar edilebileceğini tahmin ediyor.
Araştırmacılar, bu açıktan korunmanın en iyi yolunun Mac'i sürekli olarak macOS'un en son sürümüne güncellemek olduğunu söylüyor. Ayrıca kriptografik kütüphane geliştiricilerinin, M3 işlemciler gibi bazı CPU'larda DMP'yi devre dışı bırakan DOIT bit ve DIT bit bitlerini ayarlayabilme imkanları var.
Yine de bu saldırıdan kaçınmanın en iyi yolu, başkasının bilgisayara fiziksel olarak erişmesini engellemek. Bunun dışında yapmanız gereken pek bir şey yok. Araştırmacılar Apple'ı 5 Aralık 2023 tarihinde açık hakkında bilgilendirdiklerini söylüyor.
Yorum Yazın