"Meltdown" i "Spectre". Oto, jak Google i Apple bronią przed nimi swoje mobilne platformy

"Meltdown" i "Spectre" to duże zagrożenia, które wykorzystują luki w stosowanych obecnie procesorach. Dotyczy to nie tylko rozwiązań Intela i AMD, ale i układów ARM, co oznacza, że na ataki te narażeni są użytkownicy smartfonów. W jaki sposób Google i Apple bronią swoje platformy przez tymi zagrożeniami?

"Meltdown" i "Spectre" to potencjalne zagrożenia, która już od pewnego czasu są na ustach całej branży technologicznej. Wynikają one bowiem z samej budowy procesorów i sposobu, w jaki wykonują operacje. Google jako pierwszy wykrył błąd "Meltdown", a okrycie "Spectre" zawdzięczamy głównie Project Zero.

W jaki dokładnie sposób zagrażają one użytkownikom? Zespoły, które badały słabe punkty nowych procesorów, tak w dużym uproszczeniu przedstawiają problemy:

• *Meltdown*\ - zagrożenie dotyczy niemal wszystkich procesorów projektowanych przez Intela (luki tej nie mają modele z serii Atom) oraz wybranych rdzeni ARM Holdings (m.in. Cortex-A75). Umożliwia wykradanie wrażliwych danych z niemal wszystkich aplikacji uruchamianych na danym systemie.
• *Spectre*\ - zagrożenie, na które narażeni są posiadacze sprzętu z procesorami Intela i AMD czy mobilnych układów ARM. Dzięki niemu można zdobyć dostęp do pamięci urządzenia w celu wykradania ważnych danych (loginy, hasła itp.).

O wiele groźniejszym zagrożeniem wydaje się "Meltdown", o którym pisaliśmy już sporo na WP Tech. Dotyczy bowiem nie tylko użytkowników komputerów, ale również wszystkich posiadaczy smartfonów czy tabletów. Zagrożenie wynika z hardware'owego niedociągnięcia, ale o wiele prościej się przed nim bronić.

Firmy muszą jednak zadbać o odpowiednią łatkę. Czy tak się stało w przypadku twórców mobilnych systemów operacyjnych?

Zacznijmy od Apple'a, ponieważ w tym wypadku sytuacja wydaje się klarowana. W wydanym ostatnio oświadczeniu przedstawiciele firmy z Cupertino jasno zakomunikowali, że prace nad eliminacją wspomnianych zagrożeń trwały już od pewnego czasu.

Ich pierwszym efektem były łatki bezpieczeństwa wprowadzone w iOS 11.2, macOS 10.13.2 oraz tvOS 11.2, ale firma prowadzi obecnie testy i przygotowuje się do ewentualnych kolejnych poprawek. Apple zaznacza ponadto, że w najbliższym czasie ma wydać łatkę, która pomoże chronić użytkowników przeglądarki Safari przez "Spectre" (dotyczy Maców).

Zaskoczeniem może być pominięcie zegarkowej platformy, ale przedstawiciele Apple stwierdzili, że watchOS jest jednym z niewielu systemów, który nie jest podatny na "Meltdown'. Wynika to z faktu, że bazuje na układzie Cortex-M, który - według ARM - nie jest zagrożony. Nie wykluczają oni jednak, że dla pewności przygotują dodatkowe łatki dla użytkowników Apple Watchy.

Firmę z Cupertino trzeba bezsprzecznie pochwalić za działanie. Szybko, sprawnie i po cichu wprowadziła najważniejsze zabezpieczenia nie robiąc dookoła siebie szumu. Na komentarze przyszedł czas, gdy sprawa jest już załatwiona.

Co z Google'em, który jako pierwszy odkrył "Meltdowna"?

Gigant z Mountain View jako jeden z pierwszych zajął się opracowywaniem wstępnych łatek dla systemu Android, które zostały udostępnione wraz z aktualizacją zabezpieczeń na grudzień 2017 roku. Firma na tym jednak nie poprzestanie. Zapowiedziała, że w niedalekiej przyszłości ma wprowadzić zabezpieczenia w samym jądrze Linuksa, nad którymi pracuje obecnie Linux Fundation.

Łatki te trafią więc do tych produktów, które są systematycznie aktualizowane (nowe zabezpieczenia dostają stale m.in. modele Sony, HMD Global/Nokia Mobile czy Samsunga). Można spodziewać się, że masa smartfonów pozostanie narażona na ataki. Wiadomo w końcu nie od dziś, jak wygląda sytuacja z rozszerzaniem dostępności nowych wersji platformy Google'a.

Sytuacja nie jest jednak tak beznadziejna, jak może się wydawać na pierwszy rzut oka. ARM Holdings jasno wskazuje, że tylko sprzęt na topowych Cortexach-A75 jest narażony na ataki z wykorzystaniem "Meltdowna", a "Spectre" to zagrożenie dla rdzeni Cortex-A73, Cortex-A72 i Cortex-A57. Najczęściej wykorzystywane rdzenie Cortex-A53 i ich następcy (Cortex-A55) nie są w ogóle podatne na wspomniane ataki.

Ujmując to krótko - sytuacja nie jest wcale tragiczna. Użytkownicy tańszych modeli na jednostkach A53 i A55 mogą spać spokojnie, a topowych sprzęt bazujący na rozwiązaniach z serii Cortex-A7x to produkty, które z pewnością dostaną (lub już dostały) stosowne aktualizacje.

Przedstawiciele giganta z Mountain View jasno też podali, że póki co nie odnotowano żadnych ataków związanych z wykradaniem danych za pomocą luk "Meltdown" i "Spectre". W drugim przypadku sporo zawdzięczać też zapewne można szybkiemu wydaniu odpowiednich aktualizacji dla przeglądarki Chrome.

Dane na ten temat można znaleźć w zakładce "informacje o telefonie" w ustawieniach. Jeśli ostatnia aktualizacja zabezpieczeń pochodzi z grudnia 2017, telefon jest już chroniony przed ewentualnym atakiem.

W przypadku "Meltdown" i "Spectre" zagrożone miały być nie tylko wrażliwe dane użytkowników, które mogły zostać wykradzione. Pierwsze informacje wskazywał, że łatki bezpieczeństwa wprowadzane przez Intela, AMD, Apple'a, Microsoft czy Google'a mogą wyraźnie wpłynąć na spadek wydajności urządzeń.

Najbardziej odczuwalne byłoby to w przypadku komputerów, na których oparte są serwery, ale odbiłoby się to również na zwykłych użytkownikach komputerów i smartfonów. Firmy jednak uspokajają. Apple stwierdził, że testy z wykorzystaniem programów jak GeekBench 4, Speedometer czy ARES-6 nie wykazały wymiernego pogorszenia się wydajności systemów macOS i iOS.

W podobnym tonie wypowiadają się inne firmy. Google wskazuje nawet, że w przypadku infrastruktury dla chmur obliczeniowych spadki wydajności są niewielkie. Intel i ARM dodają do tego, że łatki dla Windowsa czy Androida nie wpłyną znacząco na wydajność. Tym bardziej, że każda kolejna poprawka powinna być jeszcze lepiej zoptymalizowana.

"Meltdown" i "Spectre" nie muszą być tak groźnymi lukami w zabezpieczeniach smartfonów, jak sądzono początkowo, ale nie powinno to uśpić czujności użytkowników. Ba, jeszcze większą uwagę należy przykładać do pobierania aplikacji z pewnych źródeł.