نقص امنیتی در محصولات پرکاربرد سه شرکت معتبر دنیا، اغلب گوشیها و رایانهها را در معرض خطر نفوذ قرار میدهد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان، نقصهای امنیتی را در پردازندههای کامپیوتری که توسط سه طراح بزرگ تراشههای جهانی یعنی اینتل، AMD و ARM تولید شده، شناسایی کردهاند و این یعنی تقریبا هر گوشی هوشمند و رایانه در جهان میتواند با داشتن اطلاعات حساس ازجمله رمز عبور، سرقت شود.
سرورهای ابری که وبسایتها و سایر اطلاعات اینترنتی را ذخیره میکنند نیز در معرض خطرند. این یکی از بزرگترین آسیبپذیریهای امنیت سایبری است که از نظر تاثیر بالقوه بر سیستمهای کامپیوتری شخصی، تجاری و زیربنایی دیده شدهاست. چنین نقصی در بخش اساسی کامپیوتر قرار دارد و هیچ راهی برای دانستن اینکه آیا یک دستگاه، هدفمند شده یا نه، وجود ندارد.
هر دو نقص Specter و Meltdown بهوسیله یک تکنیک طراحی در اینتل، ایجاد شده که بهمنظور ارتقای عملکرد تراشهها، شناختهشده و به عنوان اجرای احتمالی ایجاد شدهاست. این بدان معناست که هکرها میتوانند به بخشی از حافظه کامپیوتر دسترسی پیدا کنند که باید غیرقابل دسترسی باشد. دادههای حساسی نظیر کلمه عبور، ایمیل، اسناد و عکسها که در معرض خطر قرار میگیرند.
بیشتر حملات سایبری شامل یافتن نقص در نرمافزار رایانهای میشود که هکرها اجازه دسترسی به حافظه دستگاه یا سیستمعامل را میدهند. برای مثال، در سال ۲۰۱۷ یک حمله به نام WannaCry یک عیب در نسخههای قدیمی ویندوز، ایجاد کرد که در حدود ۱۵۰هزار کشور و ۳۰۰هزار کامپیوتر را تحتتاثیر قرار داده و تأثیرات ویرانکنندهای بر شرکتها و سازمانها داشتهاست.
اما هکرها میتوانند با استفاده از دو نقص مذکور از طریق تمام لایههای نرمافزاری به تراشه پردازنده مرکزی (cpu) که عملکرد اساسی کامپیوترها را انجام میدهد، دست یابند. از آنجا که این طرحهای مشابه توسط تمام سازندگان عمده تراشهها استفاده میشود، تقریبا هر کامپیوتر در جهان، ازجمله اپل، دستگاههای اندروید، MacBooks، رایانههای رومیزی بزرگ و سرورهای اینترنتی میتواند تحتتاثیر قرار گیرد.
فرایندهای هکری نیز بسیار اساسی است و هیچ ورودی از عملیات نرمافزار هک ایجاد نمیشود. به این معنی که هیچ رکوردی در مورد اینکه آیا یک تراشه خاص هک شده یا نه، وجود ندارد. این امر شناسایی حملات سایبری را در مراحل اولیه به منظور جلوگیری از وقوع دوباره آنها یا بررسی اینکه چه اطلاعاتی ممکن است به دست آمده یا دزدیده شده باشد دشوارتر میکند.
خوشبختانه، شرکتهای فناوری قبلاً شروع به انتشار تکههای نرمافزاری کردهاند که میگویند مشکلات را بدون تأثیر قابل توجهی در عملکرد، حل خواهندکرد، اما برخی ادعا میکنند که هرگونه اصلاح میتواند بهطور چشمگیری سرعت کامپیوتر را کاهش دهد. از اینرو باید صبر کرد تا اثر طولانیمدت آن را دید.
این داستان همچنین یک مسئله مهم در مورد افشای این نقص امنیتی از سوی مسئولان را مطرح میکند. گزارشها حاکی است که صنعت، ماهها این مشکل را شناسایی کرده، اما جزییات محدودی از آن تاکنون منتشر شدهاست. این در حالی است که مصرفکنندگان حق دارند در مورد چنین نقصی در اسرع وقت مطلع شوند تا بتوانند از دادههای خود محافظت کنند. البته مشکل این است که این امر میتواند باعث لو رفتن حملات سایبری توسط هکرها نیز شود.
در گذشته، این بحث باعث شده که شرکتهای فناوری از قانون برای جلوگیری از محققان در نحوه تشخیص مشکلات امنیتی بهکار ببرند. بهعنوان مثال، دانشمندان دانشگاه بیرمنگام تحت فشار قانونی از تولید کننده خودرو فولکس واگن مواجه شدند و آنها را به انتشار جزئیات نقص در سیستمهای ورودی بدون کلید خودرو وا داشتند.
مسیر پیشنهادی «افشای مسئولیت» است. هنگامی که محققان یک مشکل را کشف میکنند به تعداد کمی از افراد مرتبط اجازه میدهند تا بر روی یک راهحل کار کنند. پس از تهیه راهحل، سازنده میتواند مشکل را به عموم مردم نشان دهد تا پتانسیل هک کردن و آسیب به قیمت سهام شرکت را به حداقل برسانند.