Apple M 系列芯片存在严重安全漏洞，修复后将影响性能

一组研究人员在Apple上发现了一个严重的安全漏洞，该漏洞被称为 "GoFetch"。研究人员创建了一个名为 GoFetch 的应用程序，它可以在不到一小时到大约 10 小时的时间内提取加密方法的密钥，包括 2048 位 RSA 密钥、DH-2048、Kyber-512 和 Dilithium-2。据说，该漏洞尤其影响Apple基于 M1 和 M2 的芯片，它利用了芯片执行与典型安全相关脚本（包括需要安全密钥和加密的验证任务）有关的端到端密钥提取的所谓 "侧通道"。

Apple 虽然美国计算机协会开发了一种名为 CryptoKit 的工具，帮助开发人员更轻松地为其应用程序部署安全控制，但问题并不在于Apple的软件，而在于芯片的微体系结构。因此，攻击者可以提取密钥来解密数据。由于该漏洞已被植入芯片和处理某些加密任务的方式中，因此要修复该漏洞，唯一的办法就是由Apple 发布软件补丁。然而，正如Ars Technica强调的那样，通过这种方式修补漏洞会对性能造成重大影响。

芯片级漏洞让人想起硅级安全漏洞，如 Meltdown 和 Spectre等硅级安全漏洞，这些漏洞影响了部分英特尔、AMD、IBM 和一些基于 Arm 的芯片。在一项测试中，在使用解决 Spectre-V2 的补丁后，英特尔酷睿 i9-12900K （Alder Lake）芯片的性能下降幅度在 14% 到 26.7% 之间。Apple 还没有对研究人员的说法做出正式回应，但研究人员已经提醒Apple 注意这个问题，如果Apple 还没有解决这个问题，补丁应该很快就会推出。