Il produttore di chip per dispositivi a basso consumo ARM ha scoperto una grave vulnerabilità nelle CPU basate sulla propria architettura ARMv8-A (Cortex-A). Come nel caso di Intel e Meltdown, il problema risiede nell'hardware stesso ma è possibile comunque sventare possibili minacce con delle patch software.
La vulnerabilità è stata scoperta da ARM seguendo il lavoro dei ricercatori del Google SafeSide, progetto dedicato all'esplorazione di attacchi di questo tipo.
L'attacco consiste nello sfruttare l'esecuzione speculativa che avviene in questo tipo di processori. Per aumentare le proprie prestazioni, le CPU hanno accesso in anticipo ad alcuni dati che credono possano essere necessari in base al calcolo che stanno eseguendo, per poi scartare le speculazioni inesatte: gli attacchi "side channel" alle CPU che sfruttalo la Straight-line Speculation (SLS) possono quindi permettere agli aggressori di rubare dati direttamente dal processore stesso.
I dispositivi affetti dalla vulnerabilità sono tutti quelli che utilizzano questo tipo di architettura per i propri core, come smartphone, smartwatch, tablet, laptop, ACPC (Always Connected PC), computer a singola board e tanti altri ancora. Abbiamo contattato Eben Upton, amministratore delegato di Raspberry Pi Trading e ci ha risposto con questo commento:
"Siamo consapevoli di questo problema, che al momento sembra rappresentare un rischio molto basso per gli utenti. Stiamo lavorando per capire quali sono i core interessati e quali sono i compromessi dell'applicazione delle mitigazioni".
In una risposta degli sviluppatori ARM nella pagina delle FAQ si legge: "Si noti che attualmente riteniamo che il rischio per la sicurezza sia basso, in quanto [la vulnerabilità] sarebbe difficile da sfruttare nella pratica e un exploit pratico deve ancora essere dimostrato. Tuttavia, non si può escludere questa possibilità, ed è per questo che ARM sta agendo ora".
Le patch necessarie a rendere i sistemi nuovamente sicuri sono già state inviate dagli ingegneri di ARM a vari sviluppatori di sistemi operativi e software open source. Altre patch sono state rilasciate per alcuni dei compilatori di codice più famosi come GCC e LLVM e non dovrebbero impattare le prestazioni delle CPU. Inoltre ARM ha pubblicato un documento in cui esamina la vulnerabilità nel dettaglio così come la sua mitigazione.
Alla ricerca di una suite di sicurezza completa per i vostri PC? Kaspersky Internet Security 2020, licenza di un anno per 3 dispositivi, è in sconto su Amazon.