Ερευνητές κυβερνοασφάλειας ανακοίνωσαν ότι ανακάλυψαν έναν νέο τρόπο παράκαμψης της προηγμένης τεχνολογίας ασφαλείας της Apple, χρησιμοποιώντας τεχνικές που εντόπισαν, ενώ δοκίμαζαν μια πρώιμη έκδοση του λογισμικού τεχνητής νοημοσύνης “Mythos” της Anthropic τον Απρίλιο.
Οι ερευνητές της εταιρείας κυβερνοασφάλειας Calif, με έδρα το Πάλο Αλτο της Καλιφόρνιας, ανέφεραν ότι το λογισμικό που ανέπτυξαν συνδέει δύο σφάλματα («bugs») και μια σειρά τεχνικών, καταφέρνοντας να αλλοιώσει τη μνήμη των υπολογιστών Mac και να αποκτήσει πρόσβαση σε τμήματα της συσκευής που κανονικά θα έπρεπε να είναι απροσπέλαστα.
Εάν η τεχνική αυτή συνδυαζόταν με άλλες επιθέσεις, θα μπορούσε να επιτρέψει σε έναν χάκερ να αποκτήσει τον πλήρη έλεγχο ενός υπολογιστή.
Η τεχνική θεωρείται αξιοσημείωτη επειδή η Apple έχει επενδύσει τα μέγιστα στην «οχύρωση» του MacOS, δήλωσε ο ερευνητής κυβερνοασφάλειας Μίχαλ Ζαλέσκι, ο οποίος έχει εργαστεί στο παρελθόν στην Google και αξιολόγησε την έρευνα της Calif χωρίς να συμμετέχει στις δοκιμές.
Ερευνες στην Apple
Η Apple, η οποία χρησιμοποιεί και δοκιμάζει προηγμένα μοντέλα τεχνητής νοημοσύνης για τον εντοπισμό και τη διόρθωση ευπαθειών, εξετάζει την αναφορά της Calif προκειμένου να επιβεβαιώσει τα ευρήματα. «Η ασφάλεια αποτελεί την κορυφαία προτεραιότητά μας και αντιμετωπίζουμε πολύ σοβαρά τις αναφορές πιθανών ευπαθειών», δήλωσε εκπρόσωπος της εταιρείας.
Οι προφήτες του “Bugmageddon”
Οι δυνατότητες εντοπισμού σφαλμάτων ασφαλείας από τα πιο σύγχρονα μοντέλα AI εταιρειών όπως η Anthropic και η OpenAI έχουν βελτιωθεί τόσο πολύ τους τελευταίους μήνες, ώστε πολλοί ειδικοί στην κυβερνοασφάλεια προειδοποιούν πλέον για ένα «Bugmageddon» – ένα πρωτοφανές κύμα ανακάλυψης κενών ασφαλείας που θα μπορούσε να προκαλέσει τεράστια προβλήματα στην κυβερνοασφάλεια.
Τον περασμένο Σεπτέμβριο, η Apple ανακοίνωσε ότι αξιοποίησε την τεχνογνωσία της σε hardware και λειτουργικά συστήματα για να δημιουργήσει μια τεχνολογία με την ονομασία Memory Integrity Enforcement (MIE), την οποία περιέγραψε ως «την κορύφωση μιας άνευ προηγουμένου προσπάθειας σχεδιασμού και μηχανικής» για την οποία χρειάστηκε μια ολόκληρη πενταετία.
Σύμφωνα με την Calif, με τη βοήθεια του Claude, η ανάπτυξη του κώδικα που εκμεταλλευόταν τα δύο κενά ασφαλείας του MacOS τους πήρε μόλις πέντε ημέρες για να ολοκληρωθεί.
Η επίθεση δεν θα μπορούσε να πραγματοποιηθεί μόνο από το Mythos και απαιτούσε την εξειδικευμένη γνώση των χάκερ της Calif, εξήγησε ο διευθύνων σύμβουλος της εταιρείας, Τάι Ντουόνγκ. Αυτό συμβαίνει επειδή το Mythos διακρίνεται κυρίως στην αναπαραγωγή επιθέσεων που έχουν ήδη διαπιστωθεί στο παρελθόν. «Δεν έχουμε δει περιπτώσεις όπου να επινοεί νέες τεχνικές επίθεσης», ανέφερε. «Αυτό είναι κάτι καινούργιο».
Παρότι ένα μέρος όσων γράφονται για το Mythos είναι «υπερβολικά», σύμφωνα με τον Ζαλέσκι, τα πιο σύγχρονα εργαλεία μπορούν πλέον να χρησιμοποιηθούν για «ουσιαστική έρευνα ευπαθειών και έλεγχο κώδικα».
Σε «γρήγορη κίνηση»
Οι ερευνητές της εταιρείας ενθουσιάστηκαν τόσο πολύ με την ανακάλυψή τους, ώστε την Τρίτη ταξίδεψαν οδικώς από το Πάλο Αλτο στα κεντρικά γραφεία της Apple στο Κουπερτίνο, προκειμένου να παρουσιάσουν αυτοπροσώπως την 55σέλιδη αναφορά τους, η οποία περιγράφει τα σφάλματα που αξιοποιεί η επίθεση.
Σχεδιάζουν να δημοσιοποιήσουν λεπτομέρειες της επίθεσης μόλις η Apple διορθώσει τα υποκείμενα προβλήματα. Τα κενά ασφαλείας πιθανότατα θα επιδιορθωθούν αρκετά γρήγορα, εκτίμησε ο Ντουόνγκ.
Η Anthropic έχει σταδιακά επεκτείνει την πρόσβαση στο Mythos, αφού αρχικά είχε περιορίσει τη διάθεσή του σε έναν μικρό αριθμό εταιρειών και οργανισμών.
Πριν από λίγους μήνες, ένα σύστημα τεχνητής νοημοσύνης της εταιρείας είχε εντοπίσει περισσότερες από 100 ευπάθειες υψηλής σοβαρότητας στον περιηγητή Firefox, μέσα σε διάστημα μόλις δύο εβδομάδων. Υπό φυσιολογικές συνθήκες και χωρίς τη χρήση προηγμένης ΑΙ, για τον εντοπισμό τόσων κενών θα χρειάζονταν περίπου δύο μήνες.
Οι ανησυχίες γύρω από αυτό το φαινόμενο αλλάζουν τα δεδομένα και στη στρατηγική του Λευκού Οίκου για την τεχνητή νοημοσύνη, οδηγώντας την Ουάσιγκτον σε επανεξέταση της μέχρι πρότινος πιο «χαλαρής προσέγγισής» στην ανάπτυξη AI. Ο Λευκός Οίκος εξετάζει πλέον το ενδεχόμενο έκδοσης εκτελεστικού διατάγματος που θα δίνει στην κυβέρνηση εποπτικό ρόλο πάνω στα πλέον προηγμένα μοντέλα τεχνητής νοημοσύνης.
Πηγή: Wall Street Journal
