Fast alle Computer betroffen
ETH Lausanne findet riesiges Hardware-Sicherheitsleck

Die ETH Lausanne hat zusammen mit den Computerriesen IBM eine gravierende neue Sicherheitslücke in der Hardware von Computern gefunden. Das Brisante daran: Die Schwachstelle wird noch über Jahre weiterbestehen.
Publiziert: 20.03.2019 um 18:01 Uhr
1/6
Forscher der ETH Lausanne und von IBM haben ein riesiges Sicherheitsleck entdeckt: Prozessoren von fast allen Computer geben mit einem Trick Informationen über die Tätigkeit des Systems preis.
Foto: Getty Images

Forschende der ETH Lausanne (EPFL) und von IBM haben eine weitverbreitete Sicherheits-Schwachstelle identifiziert, die Laptops, Desktops und Server-Hardware betrifft. Diese Schwachstelle betrifft sowohl gewerbliche Lösungen, wie Server, aber auch private Geräte von Endverbrauchern. Ein Hacker kann dabei einen Optimierungsprozess der Central Processing Unit (CPU) nutzen, um Daten abzugreifen. Die CPU ist der Teil des Computers, der die Arbeitsgeschwindigkeit vorgibt, und die Eingaben und Befehle abarbeitet. Es ist also die zentrale Recheneinheit eines Computers.

Hacker nutzen «spekulierte» Prozesse

Die neue Schwachstelle namens «Smotherspectre» ähnele den vergangenes Jahr identifizierten Sicherheitslücken «Spectre» und «Meltdown» der Intel CPUs, sei aber neu, schreibt die EPFL. In Fachkreisen nennt man solche Angriffspunkte eine «spekulative Seitenkanalattacke». Dabei macht sich ein Hacker eine CPU-Optimisierungstechnik zunutze, in welcher die CPU zukünftige Befehle abschätzt und bereits «spekulativ» prozessiert. Das steigert die Leistung der Chips. Lag die Schätzung daneben, werden die Befehle verworfen. Dadurch entsteht aber ein sogenannter «Seitenkanal», aus dem ein Angreifer Informationen abgreifen kann.

«Spectre» und «Meltdown» machten sich diese spekulative Ausführung ebenfalls zunutze, aber die von den EPFL- und IBM-Forschenden beschriebene Schwachstelle geht noch etwas tiefer, wie die EPFL mitteilte. Sie bezieht sich auf den «Stau», der entstehen kann, wenn auf einer CPU eine Serie von Befehlen gleichzeitig ausgeführt wird. Eine «Smotherspectre»-Attacke macht sich diese Verzögerung zunutze, um festzustellen, welche Befehle spekulativ ausgeführt werden.

Hacker können einsehen, was der Computer macht

«Smotherspectre misst die Zeit für die Befehlssequenzen, die spekulativ ausgeführt werden, so dass ein Angreifer daraus ableiten kann, welche Befehlssequenzen ausgeführt wurden und bestimmen kann, was gemacht wird», erklärte EPFL-Forscher Mathias Payer gemäss der Mitteilung.

Die Sicherheitslücke lasse sich nicht leicht schliessen, da sie CPU-Hardware und nicht Software betrifft. «Auch wenn ein Softwareprogramm zu 100 Prozent sicher gegen Angriffe ist, kann es trotzdem durch diese Schwachstelle betroffen sein», so Payer. Intel müsste künftige Versionen ihrer CPUs anpassen, um diese Sicherheitslücke zu eliminieren. Die Forschenden haben ihre Ergebnisse bereits mit den Hardware-Herstellern Intel, AMD, OpenSSL und IBM geteilt, schrieb die EPFL. (SDA/nwa)

Fehler gefunden? Jetzt melden
Was sagst du dazu?
Externe Inhalte
Möchtest du diesen ergänzenden Inhalt (Tweet, Instagram etc.) sehen? Falls du damit einverstanden bist, dass Cookies gesetzt und dadurch Daten an externe Anbieter übermittelt werden, kannst du alle Cookies zulassen und externe Inhalte direkt anzeigen lassen.