Apples operativsystem för iPhone, iPad, AppleTV och Macdatorer är redan patchade för Meltdown om man sedan tidigare har installerat senaste versionen av operativsystemen. Spectre-säkerhetshålet kommer patchas i Apples webläsare Safari inom kort. Så länge finns det några enkla sätt att utesluta risker med Spectre. Tillägg: Googles molntjänster är patchade mot Meltdown.
Apple har alltså patchat säkerhetshålet Meltdown redan innan dess existens blev publikt. Har man senaste operativsystemversionen av maxOS, iOS eller tvOS behöver man inte oroa sig för den egna hårdvarans skull. Risker hos molntjänster kvarstår, liksom hos andra operativsystem.
Kvarstår gör också den betydligt mindre allvarliga Spectre. Denna kan via elak JavaScriptkod köras i din webläsare om du besöker olämpliga sajter, eller antagligen även sajter med reklam, likt denna blogg. Någon kan köpa reklam med Spectre-trojaner i JavaScript.
Spectre via webläsaren är dock rätt ofarligt. Den kan bara komma åt sådant som finns i webläsarens minne, och kan inte styra vad eller var. Tilldelningen av minne från t ex andra websidor blir i praktiken slumpartad och om man försöker hämta stora mängder minne åt gången finns överhängande risk att detta blir tomt nyallokerat minne för processen, som inte innehåller något av värde alls.
Vissa webläsare kör helt separata processer per websida, vilket gör att Spectre inte är ett hot alls.
I övrigt är det “bara” att helt stänga ner webläsaren före och efter du kör något känsligt, t ex betalar med ett kreditkort. Annars finns en minimal risk att ett Spectreangrepp slumpmässigt ska lyckas läsa ditt kreditkortsnummer.
Kreditkortsnumret är exempelvis 16 siffror långt. Min Safariprocess använder just nu 338 MB minne, dvs 1024*1024*338=354 418 688 minnespositioner. Att alls via Spectre fånga upp just kreditkortsnummret (och dessutom i sin helhet) är inte speciellt sannolikt, i synnerhet inte så länge det fortfarande ligger i webläsarens aktiva minne, t ex för att det står på en hemsida. Det är först när minnet inte längre används som det kan allokeras till ett Spectreangrepp.
Har du tvåstegslösen kommer inte Spectre heller göra att någon kan ta sig in i webtjänster som Google Mail eller iCloud, eftersom de inte får bägge lösenorden. Tjänster som du loggar in i med Mobilt BankID eller bankdosa kommer inte heller kunna penetreras via Spectre, eftersom dessa är engångslösenord som sedan är förverkade.
Spectre är ett nål-i-höstack angrepp och sannolikheten är låg för några allvarliga säkerhetsläckor. Om du absolut gör något känsligt som under inga omständigheter får läcka ut – stäng ner webläsaren före och efter det känsliga i väntan på att patcher dyker upp. Och kör reklamblockerare på reklamsajter som denna (som därmed inte får betalt).
Vem vet, just nu kanske Spectre fiskade upp några ord ur detta blogginlägg via webläsaren, innan det publicerades. Fruktansvärt!
Kom ihåg att som i alla sammanhang så kan okunskap leda till omotiverad hög rädsla för något. Har man kunskaperna och en hyfsad uppfattning om riskerna finns det inget att vara rädd för – ingen kommer kunna logga in på din Internetbank via ett Spectreangrepp, men kanske kan de få se vad du har i saldo på något konto även om sannolikheten är mikroskopisk.
Tillägg: Även Google Clouds molntjänster är patchade, inklusive G Suite och med det Google Mail.
9 kommentarer
Google har också patchat sina molntjänster redan innan hålen blev publika:
https://blog.google/topics/google-cloud/what-google-cloud-g-suite-and-chrome-customers-need-know-about-industry-wide-cpu-vulnerability/
Sannolikt var ju Google först ut med att patcha sina produkter, eftersom det var deras säkerhetsteam "Project Zero" som hittade säkerhetsluckorna i fråga.
Enligt deras blogg byggde de proof of concept program som exemplifiede luckorna och skickade informationen till Intel, AMD och ARM den 1 Juni 2017:
https://googleprojectzero.blogspot.se/2018/01/reading-privileged-memory-with-side.html
Microsoft har uppdaterat Windows också, min dator hade startat om i morse.
https://www.theregister.co.uk/2018/01/04/microsoft_windows_patch_meltdown/
Problemet är väl just att ex krypteringsnycklar kan finnas i minnet, och precis som med heartbleed kan man ju tänka sig att ett ev script helt enkelt automatiserar processen med att tömma hela minnet. Knappast ofarligt
Det går inte att tömma hela minnet via Spectre-JS, eftersom det är i praktiken slumpmässigt vad som allokeras till Spectreangreppet. Angreppet kommer också bara få ut saker som inte längre används, skräpsamlat minne. Det du har på en websida just nu, eller tillhörande krypotnyckel till en aktuell uppkoppling, kommer inte allokreas till Spectre, eftersom det inte är ledigt minne.
Ofarligt men ändå två blogginlägg, finns ju en uppsjö med zero-day exploits som aldrig omnämns och för den delen rena misstag i programmeringen som High Sierra root access utan lösenord.
Jag skriver om det eftersom det dykt upp i media med begrepp som "monstersårbarheten", "kriminella tar över din dator" och annan nonsens.
Spectre. Låter som något ur James Bond.
2018-01-08 19:54
Apple täpper till Spectre genom nya uppdateringar av IOS och Mac OS
https://macworld.idg.se/2.1038/1.695742/apple-tapper-till-spectre-genom-nya-uppdateringar-av-ios-och-mac-os