Views
Em uma recente reviravolta nos acontecimentos, a Apple , a gigante da tecnologia, se encontra na mira da comunidade criptográfica, não uma, mas pelo menos duas vezes.
O primeiro golpe vem na forma de um sofisticado ataque de canal lateral chamado “ GoFetch ”, que expôs uma vulnerabilidade nos processadores M1, M2 e M3 da Apple. Essa exploração pode roubar chaves criptográficas secretas que residem no cache da CPU, deixando dados confidenciais suscetíveis a comprometimento.
Um grupo de sete pesquisadores de várias universidades dos EUA desenvolveu o GoFetch e relatou suas descobertas à Apple. No entanto, a natureza desta vulnerabilidade baseada em hardware significa que as CPUs afetadas não podem ser corrigidas. Embora as correções de software possam mitigar o problema, elas custariam o desempenho, afetando principalmente as funções criptográficas.
Para colocar lenha na fogueira, o segundo golpe é cortesia do Departamento de Justiça dos Estados Unidos ( DOJ ), que abriu um forte processo antitruste contra a Apple.
O processo alega que as regras da App Store e os acordos de desenvolvedor da Apple sufocam a concorrência e a inovação, criando barreiras para desenvolvedores e usuários em diversos setores, incluindo finanças e criptografia.
Vamos nos aprofundar nas implicações desses eventos e dissecar o que realmente está acontecendo e como isso afeta a criptografia.
Compreendendo o ataque GoFetch
O ataque GoFetch atinge uma vulnerabilidade sofisticada nas modernas CPUs da Apple, colocando os usuários em risco de terem suas chaves criptográficas privadas comprometidas.
No centro do ataque GoFetch está um recurso conhecido como pré-busca dependente de memória de dados (DMP), um componente projetado para aumentar a velocidade das operações de computação, prevendo e buscando dados antecipadamente no cache da CPU.
Pense nele como um assistente com visão de futuro, recuperando preventivamente as informações que acredita que o computador precisará com base em padrões anteriores de acesso à memória. No entanto, a capacidade preditiva do DMP torna-se o seu calcanhar de Aquiles no contexto do ataque GoFetch.
Essa exploração tem como alvo processos criptográficos que mantêm um tempo de execução constante, independentemente da entrada – uma medida de segurança que visa impedir vazamentos de dados.
Ao investigar as complexidades da implementação do DMP da Apple, os invasores descobriram uma falha crítica que viola este princípio fundamental da programação em tempo constante.
O cerne do ataque está na propensão do pré-buscador de ativar e desreferenciar dados carregados da memória, particularmente dados que se assemelham a ponteiros – uma ação estritamente proibida pelas diretrizes de programação em tempo constante.
Explorando essa falha, os invasores podem criar entradas especializadas projetadas para acionar o pré-buscador, revelando gradualmente pedaços da chave criptográfica secreta.
Com persistência e repetição, os invasores podem reconstruir toda a chave, expondo informações confidenciais a possíveis comprometimentos.
Os processadores M1 da Apple, e provavelmente seus sucessores M2 e M3, são suscetíveis a esta vulnerabilidade devido a um comportamento de pré-busca semelhante.
Infelizmente, como essa fraqueza está profundamente enraizada no design de hardware das CPUs da Apple, não há uma solução direta disponível.
Quem está em risco e a resposta da Apple
A descoberta desta falha crítica de segurança nos chips da série M da Apple colocou os usuários de dispositivos Mac e iPad em risco potencial.
O que é preocupante é que os usuários não podem resolver esta vulnerabilidade diretamente. Os desenvolvedores de aplicativos criptográficos devem implementar mitigações para o problema e emitir atualizações para seus aplicativos.
No entanto, este processo pode não ser simples e os utilizadores podem encontrar-se numa posição vulnerável até que estas atualizações sejam implementadas.
Especialistas em segurança como Robert Graham, CEO da consultoria de segurança Errata Security, aconselham cautela, sugerindo que indivíduos com participações substanciais em carteiras criptografadas em dispositivos Apple deveriam considerar removê-las temporariamente como medida de precaução.
Em resposta à investigação do Zero Day, a Apple reconheceu as descobertas da pesquisa, mas não forneceu medidas concretas para resolver o problema.
A página do desenvolvedor da Apple oferece orientação aos desenvolvedores de aplicativos, sugerindo a implementação de tempo independente de dados (DIT) para desabilitar o pré-buscador durante funções criptográficas.
No entanto, esta solução traz consigo o seu próprio conjunto de desafios. Desabilitar o pré-buscador pode resultar na diminuição do desempenho do processador durante operações criptográficas, levantando preocupações sobre usabilidade e eficiência.
Além disso, a correção DIT só é aplicável aos chips M3 mais recentes da Apple, deixando os usuários com dispositivos M1 e M2 vulneráveis à exploração.
Os problemas antitruste da Apple e o futuro da criptografia
O processo do DOJ afirma que o controle rígido da Apple sobre sua App Store levou a um comportamento anticompetitivo, sufocando a inovação e impondo taxas pesadas aos desenvolvedores.
No centro do debate está o infame “imposto Apple” de 30% da Apple, uma comissão cobrada sobre compras no aplicativo, incluindo transações criptográficas.
Este modelo de taxas, considerado “grotescamente caro” pelos críticos , tornou-se um obstáculo significativo para desenvolvedores de criptografia que buscavam oferecer seus serviços em dispositivos iOS no passado.
As repercussões da estrutura de taxas da Apple são evidentes nos mercados NFT . Empresas como a Magic Eden, confrontadas com a perspectiva de pagar comissões substanciais, optaram por retirar os seus serviços da App Store em 2022 e ainda se mantêm firmes.
Outros, como o OpenSea, tiveram que reduzir a funcionalidade para apenas visualizar e navegar em NFTs, limitando a experiência do usuário e o acesso à negociação de NFT.
O aplicativo social compatível com Bitcoin , Damus, também teve que remover seu recurso de gorjeta BTC. A Apple retirou o aplicativo porque ele não usava os pagamentos no aplicativo da Apple, que a Apple usa para receber uma parte.
Além disso, as diretrizes da Apple vão além de meras estruturas de taxas, abrangendo restrições aos sistemas de pagamento e distribuição de aplicativos.
Essas diretrizes impedem que os desenvolvedores ofereçam métodos de pagamento alternativos, dificultando a integração da criptografia em aplicativos iOS.
Por exemplo, a Apple está enfrentando uma ação coletiva iniciada no ano passado, movida em novembro de 2023 em um Tribunal Distrital da Califórnia.
O processo alega que a Apple colaborou com plataformas de pagamento como Venmo do PayPal e Cash App da Block para restringir pagamentos ponto a ponto ( P2P ) em aplicativos iOS.
Entretanto, em resposta às alegações do DOJ, a Apple defendeu as suas práticas, citando preocupações sobre a privacidade e segurança do utilizador.
No entanto, os críticos argumentam que estas políticas favorecem desproporcionalmente os resultados financeiros da Apple em detrimento da liberdade do desenvolvedor e da escolha do consumidor.
Os especialistas estimam um cronograma de três a cinco anos para qualquer resolução do caso Apple vs. No entanto, os fabricantes de aplicativos e a Coalition for App Fairness expressaram forte apoio à ação regulatória do DOJ, citando a longa história da Apple de aumento injusto de preços, degradação da experiência do usuário e sufocamento da concorrência.