[[403480]]

蘋(píng)果基于 Arm 架構(gòu)的 M1 芯片因其強(qiáng)勁性能而備受矚目，但近期 Ashai Linux 創(chuàng)始人兼項(xiàng)目負(fù)責(zé)人 Hector Martin 發(fā)現(xiàn)，搭載于新款 iPad Pro、MacBook Air、MacBook Pro、Mac mini 以及重新設(shè)計(jì)過(guò)的 iMac 的 M1 芯片竟然有無(wú)法修復(fù)的安全漏洞。該漏洞被稱為「M1RACLES」，允許兩個(gè)或更多的惡意應(yīng)用程序建立一個(gè)秘密通道來(lái)相互通信，并可以在不使用任何操作系統(tǒng)功能的情況下進(jìn)行，還能在不同用戶層的進(jìn)程之間交換數(shù)據(jù)。

Martin 還針對(duì)該漏洞專門撰寫(xiě)了一份報(bào)告，并表示該漏洞「被嵌在 Apple Silicon 芯片中，如果要修復(fù)這一漏洞，必須重新設(shè)計(jì)芯片」。

報(bào)告詳細(xì)地址：https://m1racles.com/

發(fā)現(xiàn)該漏洞后，Martin 已經(jīng)給 product-security@apple.com 發(fā)送了電子郵件，蘋(píng)果公司承認(rèn)了這一漏洞，將其命名為 CVE-2021-30747，但并未澄清該漏洞是否會(huì)在未來(lái) M1 芯片版本中修復(fù)。該漏洞很有可能影響下一代蘋(píng)果 M 系列芯片，但也許會(huì)在下一代芯片設(shè)計(jì)中得到修復(fù)。

哪些用戶會(huì)受到影響呢?Martin 表示，無(wú)論是 macOS 或者 Linux 系統(tǒng)，所有搭載蘋(píng)果 M1 芯片的用戶都將受到影響。更具體地，版本 11.0 以上(包括 11.0)的 macOS 和版本 5.13 以上(包括 5.13)的 Linux 用戶會(huì)受到影響。

低風(fēng)險(xiǎn)漏洞、影響不大，但違反了操作系統(tǒng)的安全原則

該漏洞如何產(chǎn)生的呢?該漏洞源于編碼為 s3_5_c15_c10_1 的 Arm 系統(tǒng)寄存器包含兩個(gè)位，可以同時(shí)從所有內(nèi)核以 EL0 (異常級(jí)別 0，應(yīng)用程序級(jí)別權(quán)限)進(jìn)行讀寫(xiě)。

「一對(duì)惡意的合作進(jìn)程可能會(huì)通過(guò)使用時(shí)鐘和數(shù)據(jù)協(xié)議在此兩位狀態(tài)(two-bit state)之外建立一個(gè)魯棒的通道(例如一側(cè)寫(xiě)入 1x 以發(fā)送數(shù)據(jù)，另一側(cè)寫(xiě)入 00 以請(qǐng)求下一位)。」Martin 解釋說(shuō)，這導(dǎo)致進(jìn)程可以交換任意數(shù)量的數(shù)據(jù)，而僅受 CPU 開(kāi)銷的約束。

他在該漏洞的執(zhí)行摘要中寫(xiě)到，「Apple Silicon M1 芯片設(shè)計(jì)中的一個(gè)缺陷允許在操作系統(tǒng)下運(yùn)行的任何兩個(gè)應(yīng)用程序之間秘密交換數(shù)據(jù)，繞過(guò)使用內(nèi)存、套接字、文件或任何其他正常操作系統(tǒng)功能。這在以不同用戶身份運(yùn)行并在不同權(quán)限級(jí)別下運(yùn)行的進(jìn)程之間起作用，為秘密數(shù)據(jù)交換創(chuàng)建了一個(gè)隱蔽通道?！?/p>

好消息是該漏洞被認(rèn)為是低風(fēng)險(xiǎn)的，因?yàn)樗荒鼙挥脕?lái)感染 Mac 電腦，也不會(huì)被其他漏洞或惡意軟件用來(lái)竊取或篡改存儲(chǔ)在電腦上的數(shù)據(jù)。所以，Mac 用戶并不需要擔(dān)心這個(gè)漏洞，它基本上無(wú)法用于任何惡意行為。

當(dāng)被問(wèn)到這個(gè)漏洞有多嚴(yán)重，Martin 表示，如果以 1 到 10(10 代表最嚴(yán)重)來(lái)對(duì)這個(gè)漏洞的嚴(yán)重程度進(jìn)行評(píng)分，Martin 給了 2 分，它對(duì)正常運(yùn)行的軟件也沒(méi)有任何影響。

Martin 指出，雖然使用這個(gè)漏洞的惡意軟件既無(wú)法竊取、也無(wú)法干擾系統(tǒng)上現(xiàn)有的數(shù)據(jù)，但一個(gè)程序是不應(yīng)該能夠隱密傳數(shù)據(jù)給另一個(gè)程序，這違反了操作系統(tǒng)的安全原則。

對(duì)于這個(gè)漏洞是否存在遭到濫用的可能，他認(rèn)為，廣告商可能會(huì)濫用已安裝在 M1 設(shè)備上的應(yīng)用程序進(jìn)行跨應(yīng)用程序跟蹤。一些游戲開(kāi)發(fā)者也可能將該漏洞用作同步基元(synchronization primitive)。

這些都與蘋(píng)果近期大力推廣的用戶隱私相悖，只要用戶不同意，應(yīng)用程序開(kāi)發(fā)商就不能偷偷追蹤數(shù)據(jù)。這項(xiàng)安全漏洞可讓兩個(gè)應(yīng)用程序交換數(shù)據(jù)，這樣廣告商就能利用漏洞，跨應(yīng)用程序追蹤數(shù)據(jù)軌跡。

盡管 M1RACLE 漏洞允許 CPU 進(jìn)程通過(guò)秘密通道將數(shù)據(jù)傳輸?shù)搅硪粋€(gè) CPU 進(jìn)程，從而違反了操作系統(tǒng)安全原則，但 Martin 認(rèn)為該缺陷是由蘋(píng)果 M1 芯片設(shè)計(jì)團(tuán)隊(duì)人為錯(cuò)誤造成的。更具體地說(shuō)，蘋(píng)果決定通過(guò)刪除一個(gè)強(qiáng)制性功能來(lái)破壞 ARM 規(guī)范，因?yàn)樗麄冋J(rèn)為永遠(yuǎn)不需要在 macOS 上使用這個(gè)功能。然而根據(jù)消息，通過(guò)刪除該功能，蘋(píng)果使現(xiàn)有的操作系統(tǒng)更難緩解這個(gè)漏洞。

對(duì)于蘋(píng)果 M1 芯片設(shè)計(jì)團(tuán)隊(duì)人為錯(cuò)誤造成的漏洞，Martin 認(rèn)為，「工程師也是人，難免會(huì)犯錯(cuò)誤?！?/p>

其實(shí)，M1 已不是第一次曝出安全漏洞，去年 11 月，搭載 M1 的 MacBook 就被中國(guó)的騰訊玄武實(shí)驗(yàn)室發(fā)現(xiàn)了安全漏洞。在他們的新品檢測(cè)視頻中，扮演攻擊者的測(cè)試人員在 MacBook Air 上打開(kāi)所有系統(tǒng)保護(hù)后，在非常短的時(shí)間內(nèi)獲得了系統(tǒng)的最高權(quán)限(root 權(quán)限)。而這一權(quán)限，可以用來(lái)自由訪問(wèn)用戶的通訊錄、照片、文件等隱私信息。隨后攻擊者嘗試讀寫(xiě)電腦中的照片、文檔等隱私文件，竟然像查閱自己電腦一樣信手拈來(lái)!

這也是第一個(gè)公開(kāi)的可以影響 Apple M1 芯片設(shè)備的安全漏洞，隨后騰訊安全玄武實(shí)驗(yàn)室將此漏洞報(bào)告給了蘋(píng)果安全團(tuán)隊(duì)。

【本文是51CTO專欄機(jī)構(gòu)“機(jī)器之心”的原創(chuàng)譯文，微信公眾號(hào)“機(jī)器之心( id: almosthuman2014)”】 

戳這里，看該作者更多好文