Novas descobertas de acadêmicos revelaram uma vulnerabilidade grave nos chips série M da Apple, que poderia potencialmente permitir a atores mal-intencionados o acesso a chaves de criptografia confidenciais de dispositivos MacBook.
O relatório — publicado em 21 de março por um grupo de pesquisadores de várias universidades dos Estados Unidos — identificou a vulnerabilidade como um exploit de canal lateral, que permite aos hackers obter ilicitamente chaves de criptografia de ponta a ponta quando os chips da Apple executam protocolos criptográficos comumente usados.
No entanto, ao contrário de vulnerabilidades convencionais que podem ser corrigidas por meio de patches diretos, este problema específico está profundamente enraizado no design microarquitetônico do próprio silício, tornando-o "inpatchável".
Para resolver adequadamente a falha, seria necessário utilizar software criptográfico de terceiros, o que poderia prejudicar severamente o desempenho dos chips da série M da Apple, particularmente as versões anteriores, como os chips M1 e M2.
Estas descobertas destacam uma falha e desafio importantes para a infraestrutura de segurança de hardware da Apple. Hackers poderiam interceptar e explorar padrões de acesso à memória para extrair informações sensíveis, como chaves de criptografia utilizadas por aplicações criptográficas.
Os pesquisadores denominaram este tipo de hack como um exploit "GoFetch". O hack funciona de forma transparente dentro do ambiente do usuário e requer apenas privilégios de usuário padrão, semelhantes aos necessários para aplicações regulares.
Após a divulgação da pesquisa, usuários em fóruns online da Mac começaram a questionar se agora há motivo para grande preocupação ou ação necessária em relação a cadeias de chaves de senhas.
Um usuário disse acreditar que a Apple mitigaria o problema diretamente em seu sistema operacional — caso contrário, estariam "mais preocupados".
Outro usuário disse que esta falha é conhecida pela Apple há algum tempo e apontou que pode ser por isso que o M3 da Apple tem "uma instrução adicionada para desativar o DMP". O usuário disse que a pesquisa anterior sobre o tema foi chamada de "augúrio" e remonta a 2022.
Esta descoberta ocorre enquanto a Apple se encontra em um amplo processo antitruste com o Departamento de Justiça dos EUA (DOJ), que afirma que as regras da Apple App Store e seu "monopólio" ilegalmente restringiram a concorrência e sufocaram a inovação.
O DOJ também alegou que a Apple cortou o acesso a carteiras digitais concorrentes, que oferecem "uma ampla variedade de recursos aprimorados", enquanto bloqueava os desenvolvedores de fornecerem seus próprios serviços de pagamento aos usuários.