VU-onderzoekers vinden lek in Intel-chips

Verhelpen van kwetsbaarheid vergt updates in microcode van processor, software en besturingssysteem

Dit artikel delen:

Door een lek in chips van Intel is het mogelijk wachtwoorden en andere gevoelige informatie te lekken uit andere programma's. Dat blijkt uit onderzoek van de Vrije Universiteit Amsterdam. De onderzoekers vonden het lek al een jaar geleden en gaven Intel de kans de bug te fixen.

Het lek doet zich voor bij alle processoren die Intel vanaf 2008 heeft gefabriceerd, schrijven de onderzoekers. Via de kwetsbaarheid kunnen kwaadwillenden data stelen zodra je in de browser een site bezoekt waarop een kwaadaardig Javascript is ingebed. Bovendien kunnen virtuele machines informatie lekken als twee gebruikers dezelfde processor-core delen in de cloud.

De kwetsbaarheid werd bij toeval gevonden. Onderzoeksgroep VUSec deed onderzoek naar de veiligheid van Intel-chips. Toen een van de VU-studenten een foutje in een code maakte, resulteerde dat in een 'eindeloze rij nullen', schrijft De Volkskrant. 'Het was ons meteen duidelijk dat dit de wereld in vuur en vlam zou zetten', vertelt assistent hoogleraar Kaveh Razavi aan de krant. Ze beseften dat de chip informatie deelt zonder daarvoor toestemming te hebben. Hackers kunnen op deze wijze, onder meer via een script op een website, ongeoorloofd informatie van een chip halen.

Oplossing

"Het was ons meteen duidelijk dat dit de wereld in vuur en vlam zou zetten"

De onderzoekers noemen het probleem Ridl (Rogue In-Flight Data Load). Ze concluderen dat Intel het euvel niet eenvoudig kan oplossen. Het vergt updates in de microcode van de processor en in de software, waaronder het besturingssysteem. Daarvoor werkt Intel samen met softwareleveranciers zoals Microsoft en Apple.

De bedrijven adviseren gebruikers om updates van processoren en software snel te installeren. Indien mogelijk, moeten gebruikers ook de Intel-optie hyper-threading uit te schakelen. Hyper-threading stelt processoren in staat meerdere operaties tegelijk te draaien op een enkele processor-core. Hierdoor wordt de chip weliswaar efficiënter, maar is hij wel kwetsbaarder voor het gevonden lek.

Bug-bounty programma

De onderzoekers meldden de kwetsbaarheid daags na hun ontdekking bij Intel. Volgens De Volkskrant ontving de groep honderdduizend dollar via Intels bug-bounty programma, waarna het maanden stil bleef tot frustratie van de onderzoekers. Pas onder druk van publicatie in de media krijgt de VU het voor elkaar dat Intel het lek dicht en belangrijke softwareleveranciers een update laat doen, schrijft de krant. Hierdoor lijkt het erop dat kwaadwillende de kwetsbaarheid niet kunnen misbruiken.

Onderzoeksgroep VUSec vond in 2018 kwetsbaarheden in Android-toestellen. In 2016 en 2017 wonnen de onderzoekers bovendien drie awards voor het achterhalen van diverse kwetsbaarheden.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met je persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2019-05-15T10:20:00.000Z Diederik Toet
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.