將想法植入CPU 造成新攻擊模式

編譯/高晟鈞

在2010年一部名為「全面啟動」的科幻電影中,李奧納多-狄卡皮歐飾演的主角,通過巧妙的操縱,在夢境中巧妙地改變了一名富商繼承人的想法,導致它放棄已故父親的生意,並最終導致了他父親商業帝國的瓦解。

駭客可以在CPU中植入一些內容,並誘導它執行某些命令,從而檢索消息。(示意圖/123RF)

在別人作夢時,將想法植入他們的頭腦中的行為,仍然停留著科幻電影的階段。然而,這在電腦世界中卻是可行的。近期,蘇黎世聯邦理工學院教授 Kaveh Razavi 展示了某些CPU(中央處理器)的嚴重漏洞。駭客可以在CPU中植入一些內容,並誘導它執行某些命令,從而檢索消息。

更多新聞:放棄CPU和GPU 英特爾全力進攻人工智慧晶片

在現代電腦中,CPU需要進行「猜測」,而駭客正是針對這種猜測進行竄改。CPU在執行程序(包含遊戲、或網頁瀏覽)時,需要每秒做出數億種決策;其中在某些特殊的階段,這些命令的選擇,取決於從記憶體中讀取的資訊。近年來,CPU的速度變得令人難以置信,然而,數據從內存(DRAM,又稱動態記憶體)傳輸到CPU的速度卻始終跟不上,因此CPU需要花費大量時間等待,才能做出最終決定。

而這也導致了CPU採用了一種名為「猜測」的系統。CPU會根據過去的經驗,創建一種「查找表」來猜測下一步的進程,並提前執行該步驟。大多數情況下,CPU都是正確的,也從而節省了大量寶貴的時間。而2018年的攻擊,便是駭客利用預測的錯誤,來訪問敏感信息。

近期,作者Razavi教授開始測試新的安全措施。經過長時間的觀察,他們偶然發現一個奇怪的現象。他表示:「我們看起來可以讓AMD所製造的CPU相信他以前曾見過某些指令,儘管他從未發生過。就如同電影全面啟動一樣,研究人員可以在CPU中植入某些想法(如同作夢一般)。」

這也成為了一個非常嚴重的安全漏洞。由於CPU確信「查找表」中的條目,源自他曾經見過的指令,這也代表CPU根據過去指令經驗的「查找表」有了重新被操縱的可能,從而導致電腦內存中任何位置都有可能洩漏數據,其中也包括敏感信息。

Razavi教授表示:「這種新攻擊型態在雲端計算的背景下尤其重要。因為,在雲端計算中,多個客戶共享相同的硬體。因此,我們需要盡早解決這個問題。」

資料來源:TechXplore

瀏覽 1,058 次

覺得不錯的話就分享出去吧!

One Comment

發佈留言

Back to top button