Intel ja AMD -suorittimien haavoittuvuus koskee luultavasti sinuakin – suojautua voi mutta tehon kustannuksella
Kuva: @ Pixabay
Haavoittuvuuden laajuus on huolestuttavaa luokkaa, sillä tutkijoiden mukaan useimmat Intel ja AMD-suorittimet saattavat kärsiä siitä.
Tietoturvatutkijat ovat löytäneet uuden haavoittuvuuden, jota kutsutaan nimellä Hertzbleed. Intelin tutkijaryhmä havaitsi ensimmäisenä uuden haavoittuvuuden osana sisäisiä tutkimuksiaan. Myöhemmin myös riippumattomat tutkijat ottivat yhteyttä Inteliin kertoen vastaavista havainnoista.
Hertzbleed saattaa vaikuttaa useimpiin prosessoreihin, ja sekä Intel että AMD ovat tunnustaneet haavoittuvuuden olemassaolon. Intel on jopa vahvistanut, että se vaikuttaa kaikkiin sen prosessoreihin.
Hertzbleed on sivukanavahyökkäys, jota hyödyntäen voi varastaa tietoja käyttäjän tietokoneelta. Hyökkäyksessä seurataan suorittimen virrankulutusta ja kellotaajuuden vaihtelua, samalla seuraten salaamisessa tarvittavien salausavainten aiheuttamaa työkuormaa. Näiden tietojen välillä on korrelaatiota, joka puolestaan avaa mahdollisuuden salausavaimien varastamiseen. Haavoittuvuutta voi huolestuttavasti hyödyntää myös etänä.
On melko todennäköistä, että myös muiden valmistajien nykyaikaiset suorittimet ovat alttiina tälle haavoittuvuudelle, koska tutkijoiden mukaan Hertzbleed seuraa DVFS-tekniikan (Dynamic Voltage Frequency Scaling) tehoalgoritmeja. DVFS:ää käytetään useimmissa nykyaikaisissa suorittimissa.
Intel antaa silti ymmärtää, että on hyvin epätodennäköistä joutua Hertzbleed-hyökkäyksen uhriksi. Tietotekniikkajätin mukaan salausavaimen varastaminen kestää useista tunneista useisiin päiviin.
Haavoittuvuuden hyödyntäminen vaatii myös kehittyneitä ja tarkkoja suorittimen toiminnan seuraamisen mahdollistavia olosuhteita, joita on vaikea toistaa laboratorioympäristön ulkopuolella. Useimmat hakkerit eivät välitä Hertzbleedistä, koska muitakin haavoittuvuuksia on tarjolla.
Intelin ohjeiden mukaan Hertzbleediltä voi suojautua poistamalla Turbo Boost käytöstä Intel-prosessoreissa ja Precision Boost AMD-suorittimissa. Haittapuolena keino laskee suorituskykyä.
Haavoittuvuuteen ei näillä näkymin ole luvassa korjausta, mutta Intel on julkaissut tietoturva-ohjeet, jotka opastavat kehittäjiä torjumaan Hertzbleed-haavoittuvuutta. Ainakaan toistaiseksi AMD ei ole julkaissut vastaavia ohjeita.
LUE MYÖS: Microsoft kehittää muiden jättien kanssa Pluton-prosessoria – luvassa harppaus tietoturvan saralla
