苹果公司近期两次成为加密社区关注的焦点。这些事件有什么影响呢?
在最近的一系列事件中,作为科技巨头的苹果公司不仅一次,而是至少两次受到了加密社区的关注。
首个打击来自一种称为“GoFetch”的复杂侧信道攻击,该攻击揭示了苹果的M1、M2和M3处理器中的一个漏洞。该攻击可以窃取存储在CPU缓存中的秘密加密密钥,使敏感数据易受威胁。
来自美国各大学的七名研究人员开发了GoFetch,并向苹果公司报告了他们的发现。然而,这种基于硬件的漏洞的本质意味着受影响的CPU无法修复。虽然软件修复可以减轻问题,但会牺牲性能,特别是对加密功能的影响。
第二个打击来自美国司法部,他们对苹果提起了一项巨额反垄断诉讼。
这项诉讼声称,苹果的App Store规定和开发者协议扼制了竞争和创新,给包括金融和加密在内的各个行业的开发者和用户制造了障碍。
让我们深入探讨一下这些事件的影响,剖析到底发生了什么,以及它对加密产业的影响。
理解GoFetch攻击
GoFetch攻击针对现代苹果CPU中的一个复杂漏洞,使用户可能面临私密加密密钥泄露的风险。
GoFetch攻击的核心是一种称为数据存储器相关预取器(DMP)的特性,它是一种组件,通过预测并提前将数据加载到CPU缓存中,以提高计算操作的速度。
可以将其视为一种有先见之明的助手,根据过去的内存访问模式预先检索它认为计算机将需要的信息。然而,在GoFetch攻击的背景下,DMP的预测能力成为其致命弱点。
该攻击针对的是保持恒定执行时间的加密过程,无论输入是什么——这是一项旨在防止数据泄漏的安全措施。
通过深入研究苹果的DMP实现的复杂性,攻击者发现了一个违反恒定时间编程基本原则的关键缺陷。
攻击的关键在于预取器倾向于激活和取消引用从内存中加载的数据,尤其是类似指针的数据——这是恒定时间编程指南严格禁止的行为。
利用这个缺陷,攻击者可以构造专门的输入,以触发预取器,逐渐揭示秘密加密密钥的一部分。
通过坚持不懈和重复,攻击者可以重建整个密钥,将敏感信息暴露给潜在的威胁。
苹果的M1处理器以及可能的继任者M2和M3由于类似的预取行为而容易受到这个漏洞的影响。
不幸的是,由于这个弱点深深地融入了苹果CPU的硬件设计中,目前没有直接的修复方法可用。
谁面临风险和苹果的应对
在苹果的M系列芯片中发现这个关键的安全漏洞使得使用Mac和iPad设备的用户面临潜在风险。
令人担忧的是,用户无法直接解决这个漏洞。加密应用程序开发人员必须为问题实施缓解措施并发布应用程序更新。
然而,这个过程可能并不简单,用户可能会发现自己处于一个容易受到威胁的位置,直到这些更新被推出。
安全专家如安全咨询公司Errata Security的首席执行官罗伯特·格雷厄姆建议谨慎行事,并建议在苹果设备上持有大量加密钱包的个人应考虑作为一种预防措施而暂时移除它们。
对于Zero Day的询问,苹果承认了研究结果,但尚未提供具体的解决问题的步骤。
苹果的开发者页面为应用程序开发者提供了指导,建议在加密功能期间实施数据无关时间(DIT)以禁用预取器。
然而,这个解决方案也面临着一系列挑战。禁用预取器可能会导致加密操作期间处理器性能下降,引发对可用性和效率的担忧。
此外,DIT修复仅适用于苹果的最新M3芯片,使得使用M1和M2设备的用户容易受到攻击。
苹果的反垄断问题和加密的未来
美国司法部的诉讼声称,苹果对App Store的严格掌控导致了反竞争行为,扼杀了创新,并对开发者收取了高额费用。
争论的核心是苹果臭名昭著的30%“苹果税”,即对应用内购买(包括加密交易)收取的佣金。
这种被评论家称为“过高”的费用模式过去曾是加密开发者在iOS设备上提供服务时的一大障碍。
苹果的费用结构在NFT市场中的影响显而易见。像Magic Eden这样的公司,面临支付巨额佣金的前景,选择在2022年从App Store撤出他们的服务,目前仍然坚守立场。
其他公司,如OpenSea,不得不将功能缩减到仅限于查看和浏览NFT,限制了用户体验和NFT交易的访问。
比特币友好的社交应用程序Damus也不得不删除其比特币打赏功能。苹果下架了该应用程序,因为它没有使用苹果的应用内支付,而苹果会从中收取一部分。
此外,苹果的指导方针不仅仅涉及费用结构,还包括对支付系统和应用分发的限制。
这些指导方针阻止开发者提供替代的支付方法,阻碍了将加密集成到iOS应用程序中。
例如,苹果面临一项集体诉讼,该诉讼于去年发起,于2023年11月在加利福尼亚地区法院提起。
该诉讼声称,苹果与支付平台(如PayPal的Venmo和Block的Cash App)合作,限制了iOS应用程序中的点对点(P2P)支付。
对于司法部的指控,苹果辩称其做法是出于对用户隐私和安全的关注。
然而,批评者认为这些政策不成比例地支持苹果的底线,以牺牲开发者的自由和消费者的选择为代价。
专家预计解决苹果与司法部案件的时间可能需要三到五年。然而,应用开发商和应用公平联盟对司法部的监管行动表示强烈支持,指出苹果长期以来不公平地提高价格、破坏用户体验并扼杀竞争。
