Eine schwerwiegende Sicherheitslücke in Apples M1- und M2-Chips ermöglicht es Cyberkriminellen, verschlüsselte Daten auszuspähen. Die „GoFetch“ genannte Schwachstelle lässt sich offenbar nicht durch ein Software-Update beheben – Millionen MacBooks, iMacs und iPads sind gefährdet.
Apple: Kritische Sicherheitslücke entdeckt
Ein Forscherteam hat nach eigenen Angaben eine schwerwiegende Schwachstelle in Apples M1- und M2-Chips namens „GoFetch“ identifiziert. Diese Sicherheitslücke ermöglicht offenbar den Zugriff auf kryptographische Schlüssel über eine spezielle Hardwarefunktion, den sogenannten Data Memory-dependent Prefetcher (DMP). Betroffen sind die Chip-Generationen M1 und M2 von Apple, die in vielen aktuellen MacBooks, iMacs und iPads zu finden sind.
Da es nach Angaben der Forscher keine Möglichkeit gibt, den DMP in den betroffenen Chip-Generationen per Software-Update zu deaktivieren, gestaltet sich die Behebung dieser Sicherheitslücke besonders schwierig (Quelle: Ars Technica).
Software-Entwickler könnten nun gezwungen sein, eigene Sicherheitsmechanismen zu entwickeln, was wiederum die Leistungsfähigkeit ihrer Anwendungen spürbar beeinträchtigen könnte. Nur ein erheblicher Performance-Verlust könnte die Sicherheit erhöhen, heißt es. Apple hat sich bislang nicht öffentlich zu der Problematik geäußert.
Nutzern von Apple-Geräten mit M1- und M2-Chips sind die Hände gebunden. Nach derzeitigem Kenntnisstand gibt es keine Möglichkeit, sich aktiv gegen die Sicherheitslücke zu schützen.
Apples neuere MacBooks mit M3-Chips sind von der Schwachstelle nicht betroffen:
Forscher: „GoFetch“ knackt Verschlüsselung
Das Forscherteam konnte zeigen, dass es mit „GoFetch“ möglich ist, innerhalb kurzer Zeit die Schlüssel verschiedener Verschlüsselungsverfahren zu knacken. Vier Verfahren seien auf diese Weise ausgehebelt worden. Die erfolgreichen Angriffe hätten zwischen einer und zehn Stunden in Anspruch genommen. Es bedarf also eines gewissen Aufwands, um sie auszunutzen – ein Grund, sich als Apple-Nutzer sicher zu fühlen, ist das jedoch nicht.