Meltdown en Spectre: wat Apple-gebruikers over deze beveiligingslekken moeten weten

22 reacties

Dinsdag schreven we over een blunder van Intel die de prestaties van Mac en PC beïnvloed. Uit nieuwe informatie blijkt dat het niet om een, maar om twee beveiligingslekken gaat. Bijna alle moderne smartphones, tablets en computers zijn getroffen. Ook Apple-apparaten zoals de iPhone, iPad en Mac.

Meltdown en Spectre zijn ernstige kwetsbaarheden

De bugs hebben ook een naam, namelijk Meltdown en Spectre. Het zijn ernstige kwetsbaarheden die kwaadaardige apps in staat stellen om privé-informatie die door andere apps verwerkt wordt uit te lezen. Heel simpel gezegd zijn de maatregelen die processors nemen om de gegevens van verschillende apps te scheiden niet voldoende.

Wat zijn de verschillen?

De kwetsbaarheden ontstaan door iets dat speculative execution heet. Moderne processors in een computer, tablet of smartphone denken bij het uitvoeren van instructies vooruit. Ze voeren ook uit wat ze denken dat gaat gebeuren. Vaak klopt dat en daardoor merk je dat de computer sneller reageert.

Soms klopt het niet en moet de voorspelde actie ongedaan worden gemaakt. Daarbij ontstaan de problemen, want gegevens die gebruikt zijn om vooruit te denken, zijn met een aantal trucjes toch uit te lezen. Meltdown relatief eenvoudig op te lossen, maar Spectre niet. Dit zijn de verschillen:

  • Meltdown: Stelt een kwaadaardige applicatie in staat om het kernelgeheugen uit te lezen. In de kernel worden zaken als het opslaan van bestanden en openen van netwerkverbindingen geregeld. Daarom zijn willekeurige gegevens op te vissen. Het hangt ervan af wat in het kernelgeheugen zit, maar vaak zijn dit delen van bestanden of wachtwoorden.
  • Spectre: Geeft niet alleen toegang tot het kernelgeheugen, maar ook tot het geheugen dat andere applicaties gebruiken. Stel dat je net een naaktfoto hebt genomen, dan kan een kwaadaardige app die uit het geheugen dat de camera-app gebruikt vissen.
Klik/tap voor groter.

Apple-apparaten deels gepatcht

Alle Apple-apparaten zijn al beveiligd tegen Meltdown. In iOS 11.2, macOS 10.13.1 en tvOS 11.2 zitten maatregelen die de kwetsbaarheid oplossen. Volgens Apple zijn de prestaties hierdoor niet noemenswaardig afgenomen. Let op: macOS Sierra 10.12.6 en OS X El Capitan 10.11.6 hebben in tegenstelling tot eerdere berichten nog geen beveiligingsupdate die Meltdown onschadelijk maakt gehad.

Voor Spectre is nog geen definitieve oplossing beschikbaar. Dit lek is ook een stuk moeilijker op te lossen en aan een fundamentele oplossing wordt nog gewerkt. Apple brengt binnenkort wel een patch voor Safari uit die het onmogelijk maakt om het Spectre-lek via de webbrowser uit te voeren. Kwaadaardige code kan namelijk ook in javascript, dat door websites gebruikt wordt, zitten. Google neemt in Chrome 64 maatregelen en die update moet op 23 januari uitkomen. Firefox 57.0.4 is al uit en bevat ook maatregelen.

De Apple Watch is niet vatbaar voor Meltdown of Spectre. Dat komt omdat de kleine chip in het slimme horloge niet aan speculative execution doet.

Klik/tap voor groter.

Wat moet je in de tussentijd doen?

Dit weekend maar geen iPhone, iPad of MacBook gebruiken? Dat is overdreven, maar let wel goed op. Het is goed om de laatste iOS- en macOS-updates te installeren. Installer geen apps die uit een onbekende bron komen, want zolang je geen kwaadaardige app binnenlaat kan ook niets de nieuwe lekken gebruiken.

Bij het surfen op je Mac is het verstandig om voorlopig Firefox te gebruiken. Deze browser heeft als eerste maatregelen tegen Spectre ingevoerd. Op iOS heb je geen keuze, omdat Chrome en Firefox slechts een schil om Safari zijn. Als de kwaadaardige code al via de browser binnenkomt, is het waarschijnlijk via javascript via advertentienetwerken. Het kan geen kwaad om (tijdelijk) een adblocker in te schakelen op iOS. Ja, we riskeren daar een deel van onze eigen inkomsten mee, maar f*** it, jouw veiligheid is het belangrijkst.

Reacties

22 reacties
  • Profielfoto
    maconly

    Bizar dat de wereldkampioen computer bouwen dit laat gebeuren.

  • Profielfoto
    vuurvreter

    Bizar dat de wereldkampioen computer bouwen dit laat gebeuren.

    Je bedoelt alle computer bouwers;-)

  • Profielfoto
    ln.XSOcam

    Maar… ik begrijp het mogelijk niet helemaal… je moet toch eerst kwaadaardige apps hebben die deze speculatieve gegevens gaat bekijken ? Ik vraag me dan eerst af welke apps dit doen. Welke nieuwe apps zijn actief in de achtergrond en welke gaan dan die nog onbekende en vooralsnog speculatieve gegevens afspeuren en combineren tot iets interessants ? Ik begrijp nu alleen nog dat dit lek slechts speculatief is en dat het wat ver gaat om alle lezers nu Firefox te laten gebruiken terwijl het onduidelijk is wie gebruik gaat of wil maken van dit beveiligingslek.

  • Profielfoto
    iMac Lover

    Het zijn niet de computer manufactures zoals Dell of Apple, die verantwoordelijk zijn voor dit lek
    Het zijn de Intel chips, die verantwoordelijk zijn voor dit probleem
    Alleen iemand, met een gedegen kennis over het geheugen beheer van lopende processen binnen de computer architectuur vond dit probleem.
    De vraag blijft, of Intel dit gaat oplossen via bijvoorbeeld en BIOS update of Kernel update. Of of dit lek alleen met een software update kan worden gedicht

    Ik hoop, dat Apple dit lek ook kan dichten in iOS 10 voor mijn iPad 4

    Gr

  • Profielfoto
    McJohn

    Of iOS 9, … want tot zover gaat mijn iphone…

  • Profielfoto
    BlueSky

    Even los van alle macs, idevices etc. Zijn windows PC’s, android toestellen etc ook kwetsbaar?

  • Profielfoto
    McJohn

    Voor zover ik gelezen heb wel ja.

  • Profielfoto
    iMac Lover

    @BlueSky
    Het gaat over devices zoals computers, cellphones en of tablets waarin Intel processors de rekenkracht levert.
    Dus ook Windows computers of Android tablets of cellphones.

    Er zijn ook computers met een AMD processors. Of de mobile versie hiervan Athlon.
    Ik heb nog niet gelezen dat bij AMD processors een dergelijk beveiligings lek is geconstateerd

  • Profielfoto
    pannekoek

    Ook processors van ARM en AMD zijn ontworpen met dezelfde problemen.

    https://nos.nl/artikel/2210521-meltdown-en-spectre-hoe-gevaarlijk-zijn-de-chip-lekken-en-wat-doe-je-ertegen.html

    “Spectre treft niet alleen chips van Intel, maar ook chips die zijn ontworpen door ARM. Daaronder zijn iPhones en Android-telefoons. Bovendien treft Spectre ook laptops en computers met chips van Intel-concurrent AMD. Het Spectre-lek maakt het mogelijk om toegang krijgen tot het geheugen van andere programma’s, eveneens door een ontwerpfout. Het lek is lastiger te verhelpen, maar ook lastiger te misbruiken.”

  • Profielfoto
    Eprom

    Op meerdere forums word geklaagd over prestatie vermindering na de patch. Heeft hier iemand daar al iets van gemerkt?

  • Profielfoto
    Planeten Paultje

    @iMac Lover:
    > “De vraag blijft, of Intel dit gaat oplossen via bijvoorbeeld een BIOS update of Kernel update. Of dit lek alleen met een software update kan worden gedicht.”

    Aangezien deze problemen in hardware gebakken zitten is er op dat niveau niets aan te doen. Wat men nu uitrolt voor de bestaande processoren zijn softwarematige trucs om het veel moeilijker te maken om de ingebakken zwaktes te misbruiken. Dit kan alleen ten koste van de efficiency van de processor, maar voorlopig lijkt het erop dat de eindgebruiker er alleen bij specifieke applicaties iets van zal merken.

    Uiteindelijk is het onvermijdelijk dat deze problematische aspecten van processoren tot nieuwe ontwerpen gaan leiden, de besturingssystemen daarop worden aangepast en gebruikersapplicaties moeten daarin meegaan. Dat is wel een lange weg om te gaan.

    Zal Apple zich door dit alles verleid voelen om extra vaart te zetten achter de ontwikkeling van hun eigen processoren om zich los te kunnen maken van externe leveranciers?

  • Profielfoto
    Cursor

    Firefox staat in mijn dock, maar hele tijd niet gebruikt, dus toch maar even de update gedaan.

  • Profielfoto
    Ree

    Bizar dat de wereldkampioen computer bouwen dit laat gebeuren.

    Je bedoelt alle computer bouwers;-)

    Nee, hij bedoelt Wereld kampion chip-bouwer…

    Oh, nee, hij bedoelt ALLE chip-bouwers.

    “The Spectre flaw affects most modern processors made by a variety of manufacturers, including Intel, AMD and those designed by ARM…”

    Bron: https://www.theguardian.com/technology/2018/jan/04/meltdown-spectre-worst-cpu-bugs-ever-found-affect-computers-intel-processors-security-flaw

  • Profielfoto
    Ree

    Op meerdere forums word geklaagd over prestatie vermindering na de patch. Heeft hier iemand daar al iets van gemerkt?

    Gemerkt? nee, ik persoonlijk nog niet.

    Over gelezen; ja, dat wel. We (werk) horen dat prestaties van (bijvoorbeeld) webservers door de patch 30% minder presteren. Ik vermoed dat dat komt doordat de patch eigenlijk niets anders doet dan Speculative Execution uitschakelen.

    Onze servers zijn dit weekend aan de beurt, we merken het volgende week als alles weer op gang komt…

    Intel daarentegen zegt:
    “Any performance impacts are workload-dependent, and, for the average computer user, should not be significant and will be mitigated over time.”
    en dus dat we er weinig van zullen merken…

    ben benieuwd

  • Profielfoto
    Le Big Mac

    Sierra en El Capitan zouden *wel* gepatched zijn: The Apple Security pages say that the security updates late last year included Meltdown fixes for Sierra and El Capitan as well as High Sierra. https://support.apple.com/en-au/HT208331
    So not for Yosemite and older.

    Bron: https://discussions.apple.com/thread/8225527

  • Profielfoto
    JustThatDutchGuy

    Goed gezegd; ‘Fuck IT’.
    M’n 3310 weer afgestoft en klaar voor gebruik. klaar met ‘smart’phones

  • Profielfoto
    Diastro

    Ja, we riskeren daar een deel van onze eigen inkomsten mee, maar f*** it, jouw veiligheid is het belangrijkst.

    Raymon, je bent helemaal oké. Bedankt voor het artikel!

  • Profielfoto
    bartvanderveer

    Ik ben benieuwd wat de rol van de NSA is in deze rel…
    Weten zij er al van, maken ze er gebruik van …

  • Profielfoto
    Joerian

    Is duidelijk welke chips ook hier mee te maken hebben? Ik heb bijvoorbeeld een oude iMac uit 2010 een oude ipd mini 2 en een iPhone 5. Hoop natuurlijk dat die dar geen last van hebben.

  • Profielfoto
    Eprom

    Intel daarentegen zegt:
    “Any performance impacts are workload-dependent, and, for the average computer user, should not be significant and will be mitigated over time.”
    en dus dat we er weinig van zullen merken…

    ben benieuwd

    De forums waar ik het over heb zijn audio forums en daar is het dus wel duidelijk te merken, dat de prestatie’s achteruit gaan ná de patches. Ik kan me voorstellen dat videobewerkers hetzelfde merken. (nou moet ik er wel bij zeggen dat er vooral veel Windows gebruikers klagen op dit moment)

  • Profielfoto
    Juss

    “bartvanderveer 6 uur geleden
    Ik ben benieuwd wat de rol van de NSA is in deze rel…
    Weten zij er al van, maken ze er gebruik van …”

    Dat was ook mijn gedachte ….
    Je hebt op viceland wel eens een cyber programma waarin ze dit soort zaken onderzoeken.

    Als je dan ook nog eens Snowdon zijn verhaal hoort vertellen dan is wel duidelijk there’s more that meets the eye.