Nueva vulnerabilidad en Apple M-series que permite extraer claves secretas y no puede parchearse
Naturaleza de la vulnerabilidad
- Ataque de canal lateral, apodado GoFetch, contra el prefetcher dependiente de datos de la memoria (DMP) de Apple M-series.
- Rompe los supuestos de la criptografía de tiempo constante al pretraer especulativamente datos que “parecen” punteros.
- Permite extraer claves de implementaciones criptográficas comunes (OpenSSL DH, Go RSA, Kyber, Dilithium) cuando el atacante puede introducir entradas elegidas y monitorizar los tiempos de caché.
- Funciona en M1 y M2; el bit DIT de M3 puede desactivar el comportamiento problemático cuando las bibliotecas lo adoptan.
- Se informa que las claves del Secure Enclave no se ven afectadas; el ataque apunta a criptografía en espacio de usuario/espacio kernel, no a claves almacenadas en el enclave.
Explotabilidad práctica y modelos de amenaza
- Requiere: código atacante sin privilegios en la misma máquina y la capacidad de desencadenar repetidas operaciones de clave privada durante mucho tiempo.
- La discusión enfatiza procesos co-localizados; los ataques remotos solo por red se consideran imprácticos debido a las minúsculas diferencias de tiempo y al ruido, aunque algunos citan trabajos previos sobre temporización remota en general.
- Se debatieron posibles vectores: JavaScript malicioso en navegadores, servidores compartidos, gestores de contraseñas, claves de sesión TLS, certificados de cliente. Los escenarios end-to-end realistas siguen sin estar claros.
Impacto en usuarios promedio
- Un lado: “ningún problema real” para la mayoría; el riesgo está muy superado por la ingeniería social, la reutilización de contraseñas y el software sin parchear.
- El otro lado: desestimar esto repite las actitudes iniciales ante Spectre/Meltdown; también allí acabaron apareciendo pruebas de concepto en JavaScript.
Centralización de identidad, pagos y apps
- Crítica fuerte a los teléfonos como puntos únicos de fallo para identidad, pagos y autenticación de apps.
- Preferencia por tokens físicamente separados (dispositivos hardware bancarios, smartcards) con responsabilidades respaldadas legalmente y “rituales” distintos para acciones de alto valor.
- Contraargumento: los ecosistemas centrados en móviles con biometría (Apple Pay, passkeys) han mejorado mucho la seguridad y la comodidad, y son ampliamente aceptados por bancos y reguladores.
Especulación, prefetching y diseño de CPU
- Preocupación más amplia de que las técnicas especulativas y los prefetchers son intrínsecamente riesgosos para la criptografía.
- Sugerencias: banderas o modos de hardware para criptografía de tiempo constante, hardware seguro dedicado (TPM, Secure Enclave, HSMs, claves hardware), o incluso núcleos/CPUs dedicados a código “de confianza vs no confiable”.
- Otros argumentan que la especulación es esencial para el rendimiento moderno; la verdadera carencia es un modelo formal de canal lateral.
Otras reacciones
- Algunos acusan el encuadre “no puede parchearse” de ser clickbait; otros señalan la falta de cualquier mitigación conocida para M1/M2 pese a la divulgación coordinada.
- Debate sobre la “seguridad por oscuridad” y sobre si arquitecturas más abiertas (p. ej., RISC-V) mejoran la confianza en la raíz de hardware.