Apple M1 jest źle zaprojektowany. Podatności "M1RACLES" nie da się usunąć łatką

Układ Apple M1 montowany m.in. w iMacach, iPadach Pro i MacBookach jest wadliwy, a wykrytej podatności CVE-2021-30747 (nazwanej też "M1RACLES") nie uda się usunąć aktualizacją oprogramowania. W praktyce zatem wszyscy użytkownicy wydanych dotąd na rynek sprzętów z M1 są "zagrożeni".

Problem wydaje się pozornie poważny, ale jak twierdzi jego odkrywca, który opisał sprawę na osobnej stronie, w praktyce może nie być chętnie wykorzystywany przez cyberprzestępców. Istotą "luki" jest możliwość niekontrolowanej wymiany informacji pomiędzy aplikacjami, które działają w systemie w tym samym czasie.

Nie jest do tego konieczne używanie plików i typowych funkcji systemu operacyjnego, przez co całość jest nieco nieprzewidywalna - nad taką wymianą danych nie da się zapanować. Jak tłumaczy odkrywca wady projektowej w Apple M1, wymiana danych jest możliwa dzięki specyficznemu oprogramowaniu rejestrów. Dwa uruchomione procesy mogą w praktyce utworzyć między sobą kanał do przesyłu bitów i wykorzystywać go niemal bez ograniczeń. Skuteczność udało się przedstawić na poniższym filmie:

Co jednak ciekawe, zdaniem odkrywcy problemu, w praktyce nie jest on dużym zagrożeniem bezpieczeństwa. W jego ocenie taka wymiana danych mogłaby zostać najprędzej wykorzystana przez dwie aplikacje reklamowe (a tu mowa o stosunkowo niskiej szkodliwości dla użytkownika) lub dwie inne szkodliwe aplikacje (a tutaj można by się spodziewać, że i tak w jakiś sposób zaplanowano już ich komunikację).

Nie zmienia to jednak faktu, że problem istnieje, a ponadto nie da się go rozwiązać aktualizacją oprogramowania - konieczne jest przeprojektowanie czipu na poziomie sprzętowym. Można więc zakładać, że kolejne generacje autorskich układów Apple'a będą już opisywanej wady pozbawione. Co istotne, producent jest już świadomy problemu.