Gadgetshowto
À medida que as notícias de uma vulnerabilidade generalizada nas CPUs da Intel e AMD se espalhavam pelo mundo, o ecossistema de tecnologia entrou em pânico. O Google estava na vanguarda dessa ação, já que seu grupo Project Zero foi uma das equipes que descobriu essa vulnerabilidade em 2017 e colocou em ação as medidas que todos os fabricantes de dispositivos no mundo estão tomando para impedir essas grandes ameaças ...
Meltdown e Spectre exploram vulnerabilidades críticas na maioria dos processadores modernos, desenvolvidos pela Intel, AMD e ARM. Por serem bugs de hardware, são muito mais difíceis de consertar. Simplificando, as duas lacunas permitem que programas roubem dados que estão sendo processados no computador.
De acordo com a postagem do blog de segurança do Google, a falha de segurança na maioria dos processadores modernos permitiu que os invasores leiam a memória protegida do sistema, incluindo senhas, chaves de criptografia ou outras informações confidenciais. E isso é ruim porque os referidos dados deveriam estar inacessíveis a outros programas, que é a restrição que as vulnerabilidades removem.
O processo de exceção especulativa (Spectre), se você não sabe, é uma técnica de otimização usada por computadores para realizar algumas tarefas antes que elas normalmente precisem ocorrer. Isso significa que o A CPU sabe quais programas podem ser úteis e precisam ser executados antes, de modo a evitar atrasos. Infelizmente, esta etapa principal pode ser acessada por qualquer programa não autorizado para fugir com seus dados privados.
Se isso soa um pouco incontestável, você pode verificar esta analogia simples usada que usamos para explicar como esta vulnerabilidade explora os dados do seu sistema.
Após uma investigação mais aprofundada, o Google descobriu que três variantes diferentes de código malicioso podem ser usadas para invadir o computador de um usuário por meio desta vulnerabilidade da CPU. Enquanto os dois primeiros estão sendo chamados de 'Spectre', o terceiro recebeu o codinome 'Meltdown'.
Não há uma correção comum para todas as 3 variedades de métodos de ataque e cada uma delas requer proteção independente.
Esforços de segurança do Google
Quanto ao Google, foi rápido e imediatamente transmitiu as informações sobre essa enorme vulnerabilidade aos fabricantes de chips, ao mesmo tempo que tomando medidas para proteger seus próprios sistemas e dados armazenados na nuvem. Ela se juntou a vários parceiros de software e hardware para mitigar a perda de privacidade e dados do usuário na Internet. Aqui está um resumo dos diferentes produtos do Google e seu estado atual de mitigação de ataques:
Android
O gigante das buscas afirmou que o último 'patch de segurança de janeiro' vem embalado com um conjunto de atenuações para reduzir a chance de um ataque em todos os dispositivos Android baseados em ARM. Mas, em uma espécie de humilde ostentação, acrescentou que exploit era bastante difícil de alcançar e de escopo limitado em dispositivos Android.
Chrome OS
Apenas Chromebooks com tecnologia Intel são afetados por esta vulnerabilidade, enquanto os ARM são gratuitos de intrusões inesperadas. O Google já incluiu um patch para "dispositivos Intel Chrome OS em kernels 3.18 e 4.4", mas planeja reforçar ainda mais sua segurança com futuros lançamentos do Chrome OS.
Google Cloud Platform
Esta foi a primeira plataforma do Google a atrair a atenção do gigante da tecnologia, uma vez que a falha crítica de segurança foi descoberta. Enquanto a maioria de seus motores de nuvem são protegidos contra este ataque, mas alguma forma de interação do usuário pode ser necessária de sua parte.
Além disso, outros produtos de hardware do Google, como Chromecast, Wi-Fi, G Suite, bem como o Google Home, não são afetados por essa vulnerabilidade crítica da CPU. A grande questão é se outros fabricantes de hardware serão capazes de corrigir essa vulnerabilidade da CPU a tempo.
