Nieuws

Bijna alle computers en smartphones getroffen door lek

4 januari 2018 11:41

Onderzoekers hebben twee grote fouten ontdekt in de processoren die sinds 1995 in bijna alle computers worden gebruikt.

Zo bescherm je jouw apparaten tegen Meltdown en Spectre

De twee fouten, die Meltdown en Spectre worden genoemd, geven hackers de mogelijkheid om het geheugen van een computer uit te lezen en gevoelige data als wachtwoorden, e-mails, foto's en documenten in te zien. Naast computers en laptops zijn ook smartphones, tablets en slimme apparaten kwetsbaar. Verschillende onderzoekers, waaronder die van Google en een Oostenrijkse universiteit, hebben de lekken onafhankelijk van elkaar ontdekt.

Software-updates

Op dit moment is er geen oplossing voor Spectre. De fout zit in het ontwerp van de processor, en deze zou opnieuw moeten worden ontworpen om het lek te dichten. Dat betekent dat consumenten in veel gevallen pas volledig zijn beschermd als ze in de toekomst een nieuwe computer met een veilige processor aanschaffen.

Voor Meltdown is er een software-update voor Windows (KB4056892) die de kwetsbaarheid verhelpt. Deze update zou computers wel tot 30 procent trager maken. Voor Android is ook al een update beschikbaar. Voor macOS dicht de update 10.13.2 volgens experts het grootste deel van het lek. Wanneer een update voor iOS volgt is momenteel nog niet bekend.

Hoe werken Meltdown en Spectre?

Soms hebben computerprogramma's toegang tot het beschermde gedeelte van de computer - de kernel - nodig om computercode uit te voeren. Zowel Meltdown als Spectre doorbreken de beveiliging van de kernel. 

Meltdown maakt misbruik van een lek in Intel-processoren. Deze processoren worden met name in pc's en laptops gebruikt. Door het lek kan een aanvaller bij gevoelige data komen. Het gros van de computergebruikers loopt risico wanneer zij malafide software installeren die het lek misbruikt. Dit kan gebeuren door bijvoorbeeld een phishingmail met een gevaarlijke bijlage.

Spectre treft bijna alle processoren, waaronder die van de merken Intel, AMD en ARM. Daardoor zijn ook smartphones en tablets kwetsbaar. Spectre is door een aanvaller lastiger uit te voeren, maar er is ook nog geen duidelijke oplossing voor. Computerprogramma's hebben wel de mogelijkheid om zelf bescherming tegen dit lek in te bouwen.

Cloud

Het is onduidelijk of er al misbruik is gemaakt van Meltdown en Spectre. Het gebeurt vaker dat grote beveiligingsproblemen bekend worden en dat er updates worden uitgebracht, maar dat betekent lang niet altijd dat iedereen veilig is. Bij de uitbraak van de WannaCry-ransomware in mei vorig jaar werd er ook misbruik gemaakt van een lek waar al een update voor beschikbaar was. Velen hadden deze update nog niet geïnstalleerd.

Vooral bedrijven die cloudopslag aanbieden, zoals Google, Microsoft en Amazon, lopen volgens de onderzoekers risico. Deze bedrijven laten meerdere klanten gebruikmaken van dezelfde computer. Door de kwetsbaarheden zou een hacker toegang kunnen krijgen tot de wachtwoorden en bestanden van andere klanten op dezelfde machine. Veel bedrijven hebben vannacht al updates uitgerold die klanten beschermen tegen deze aanval. 

Intel

Intel stelt in een reactie dat het gelooft dat de kwetsbaarheden 'niet de potentie hebben om met data te knoeien, het aan te passen of te verwijderen'. Ondanks dat adviseert het bedrijf wel zo snel mogelijk de updates te installeren die de beveiligingsproblemen oplossen.

De kwetsbaarheden zijn ontdekt door onderzoekers van Googles Project Zero, een team van hackers dat speurt naar kwetsbaarheden in hard- en software. Ook onderzoekers van beveiligingsbedrijf Cerberus Security en de TU Graz in Oostenrijk kwamen achter de lekken. Samen hebben zij de details van Meltdown en Spectre gepubliceerd.

Op de beurs ging Intel vanochtend onderuit na het nieuws.

Lees ook: Zo bescherm je jouw apparaten tegen Meltdown en Spectre

De nieuwste gadgets op CES 2018

Bright doet volgende week verslag van de grote techbeurs CES in Las Vegas. Onze video’s niet missen? Like ons op Facebook, volg ons op Twitter en subscribe op ons YouTube-kanaal.