了解 PACMAN，Apple M1 芯片的安全漏洞

麻省理工学院的一组研究人员发现了苹果 M1 芯片中存在一个新的硬件漏洞。该团队由 Joseph Ravichandran 和 Weon Taek Na 领导，他们演示了这种被称为 PACMAN 的攻击如何绕过 M1 芯片最深的防线之一。虽然这一切听起来很可怕，但并不像你想象的那么令人担忧：攻击者只能使用 PACMAN 来利用系统中现有的内存错误，而这个错误是可以修补的。 

要理解这个问题，了解“指针”会有所帮助。指针是 CPU 用来运行计算机的基本代码之一。它是指向另一个变量在内存中存储位置的位，允许它执行操作而无需使用整个变量。你可以把它们想象成一本书的索引。如果你想检查是否提到了“咖啡”，扫描索引比扫描整本书要快得多。由于指针非常重要，它们是一种常见的攻击载体。如果你可以改变指针指向的位置，你就可以诱使 CPU 做它不应该做的事情。

为了防御此类攻击，M1 芯片是首款使用“指针认证”技术的台式机 CPU。在接受 MIT News 采访时，新论文的共同主要作者之一 Ravichandran 表示：“当引入指针认证时，一整类漏洞突然变得难以用于攻击。”PACMAN 是一种利用这些漏洞重新发挥作用的漏洞。

指针认证的工作原理是使用一个 16 位加密哈希，称为指针认证码 (PAC)（因此得名 PACMAN），以保护指针不被修改。启用该功能后，攻击者必须知道指针的 PAC 值才能更改它，否则系统将崩溃；因此，在正常情况下，攻击者不能直接暴力破解 PAC 值。

PACMAN 的一大创新是利用暴力破解方法，从而在不导致系统崩溃的情况下辨别给定指针的 PAC 值。研究人员将这种设置称为“PAC Oracle”，它能够在三分钟内猜出所有 65,536 个可能的 PAC 值，而不会导致系统崩溃。它通过将它们作为“推测执行”运行来实现这一点。在这种情况下，它执行操作只是为了以防稍后需要它，但实际上并没有执行，因此它永远不会受到指针身份验证的挑战。（这是需要软件错误才能运行的部分。）

当然，仅仅猜测值是没有用的。PAC Oracle 还需要知道什么时候猜测正确。它通过观察称为转换后备缓冲区 (TLB) 的硬件内存存储来查看它是否发生变化。如果它猜错了，什么也不会发生；如果它猜对了，存储在 TLB 中的某个内容就会发生变化。

因此，一旦知道了 PAC 的给定指针，攻击者就可以利用现有的软件错误来接管操作系统的内核，并做他们想做的任何事情。他们可以安装间谍软件或勒索软件，窃取您的所有文件，或者做黑客喜欢做的任何其他事情。（虽然这一切听起来很复杂，但实际上，这些细节非常简单；如果您想了解 PACMAN 的工作原理，请查看研究论文。）

PACMAN 是一个真正的漏洞，由于它依赖于 M1 芯片的硬件功能，因此无法修补或修复，但需要注意的是，M1 芯片仍然比旧芯片更安全。此漏洞需要现有的软件错误（可以修补）才能运行，而指针身份验证仍然可以保护您的计算机免受任何无法绕过它的漏洞的攻击。但正如 Ravichandran 所说，“我们已经证明，指针身份验证作为最后一道防线并不像我们曾经认为的那样绝对。”

归根结底，这都是网络安全大战的一部分。对于每个新的安全系统，都有漏洞和漏洞可以绕过它。下一代芯片可能会想出某种方法来防止像 PACMAN 这样的攻击，然后研究人员会找到新的漏洞和绕过它的方法。

此外，没有证据表明 PACMAN 正在被广泛使用。由于它依赖于现有的错误，因此最好的防御方法是让您的计算机保持最新状态。此漏洞适用于 M1 芯片。研究人员尚未证实它适用于苹果刚刚推出的 M2 芯片，但他们相信这是可能的。

去年，研究人员就已告知苹果这一问题。苹果在给 TechCrunch 的一份声明中表示：“我们要感谢研究人员的合作，因为这一概念验证增进了我们对这些技术的理解。根据我们的分析以及研究人员与我们分享的细节，我们得出结论，这一问题不会对我们的用户构成直接风险，也不足以独自绕过操作系统的安全保护。”

总而言之，这可能是一个公平的评价。所有计算机都容易受到黑客攻击。这只是坏人使用的另一个工具，芯片工程师需要修复它。当一只鼹鼠被击倒时，另一只鼹鼠就会冒出来。