漏洞从 Intel 和 AMD CPU 窃取数据——你可能会受到影响

研究人员刚刚概述了一个影响处理器芯片的新漏洞——它被称为 Hertzbleed。如果用于进行网络安全攻击,此漏洞可以帮助攻击者窃取秘密密钥。

该漏洞的规模有些惊人:据研究人员称,大多数Intel 和 AMD CPU都可能受到影响。我们应该担心赫兹出血吗?

蓝色和白色背景上的 Hertzbleed 漏洞标志。
赫兹出血

作为内部调查的一部分,英特尔的一组研究人员首次发现并描述了这个新漏洞。后来,来自 UIUC、UW 和 UT Austin 的独立研究人员也与英特尔取得了类似的发现。根据他们的发现,Hertzbleed 可能会影响大多数 CPU。英特尔和 AMD 这两家处理器巨头都承认了这个漏洞,英特尔确认它影响了所有的 CPU。

英特尔已发布安全公告,为加密开发人员提供有关如何针对 Hertzbleed 加强其软件和库的指导。到目前为止,AMD 还没有发布任何类似的东西。

Hertzbleed 到底是什么,它有什么作用?

Hertzbleed 是一个允许侧信道攻击的芯片漏洞。然后可以使用这些攻击从您的计算机中窃取数据。这是通过跟踪处理器的功率和升压机制并观察加密工作负载(例如加密密钥)的功率签名来完成的。术语“加密密钥”是指安全存储在文件中的一条信息,只能通过加密算法对其进行编码和解码。

简而言之,Hertzbleed 能够窃取通常保持加密状态的安全数据。通过观察你的 CPU 产生的功率信息,攻击者可以将该信息转换为计时数据,从而为他们窃取加密密钥打开了大门。更令人担忧的是,Hertzbleed 不需要物理访问——它可以被远程利用。

其他供应商的现代处理器很可能也受到此漏洞的影响,因为正如研究人员所述,Hertzbleed 跟踪动态电压频率缩放 (DVFS) 技术背后的功率算法。 DVFS 用于大多数现代处理器,因此,ARM 等其他制造商可能会受到影响。尽管研究小组将 Hertzbleed 通知了他们,但他们尚未确认他们的芯片是否暴露在外。

将以上所有内容放在一起肯定会描绘出一幅令人担忧的画面,因为 Hertzbleed 影响了如此多的用户,到目前为止,还没有快速的解决方法可以避免它。但是,英特尔在此让您放心——即使您很可能接触到 Hertzbleed,您也不太可能成为 Hertzbleed 的受害者。

据英特尔称,窃取加密密钥需要几个小时到几天的时间。如果有人仍然想尝试,他们甚至可能无法尝试,因为它需要先进的高分辨率电源监控功能,而这些功能很难在实验室环境之外复制。当如此频繁地发现大量其他漏洞时,大多数黑客都不会理会 Hertzbleed。

如何确保 Hertzbleed 不会影响您?

图表中描述的 Hertzbleed 漏洞缓解方法。
英特尔

如上所述,即使没有做任何特别的事情,您也可能是安全的。如果 Hertzbleed 被利用,普通用户不太可能受到影响。但是,如果您想更加安全地使用它,您可以采取几个步骤 – 但它们的性能代价很高。

英特尔详细介绍了一些用于对抗 Hertzbleed 的缓解方法。该公司似乎不打算部署任何固件更新,AMD 也是如此。根据 Intel 的指导方针,有两种方法可以完全保护 Hertzbleed,其中一种非常容易做到——您只需禁用 Intel 处理器上的 Turbo Boost 和 AMD CPU 上的 Precision Boost。在这两种情况下,这都需要访问 BIOS 并禁用升压模式。不幸的是,这对您的处理器性能非常不利。

英特尔列出的其他方法要么只能提供部分保护,要么对于普通用户来说非常困难,如果不是不可能的话。如果您不想为此调整 BIOS 并牺牲 CPU 的性能,您很可能不必这样做。但是,请睁大眼睛并保持敏锐—— 网络安全攻击无时无刻不在发生,因此格外小心总是好的。如果您精通技术,请查看Hertzbleed的完整论文,该论文首先由Tom's Hardware发现。


Posted

in

by

Tags: