موتور مدیریت اینتل (ME) زیرسیستمی است که برای برعهده گرفتن وظایف در هنگام فرآیند بوت و در پس زمینه‌ به‌کار برده می‌شود و اینتل از سال ۲۰۰۸ تاکنون از آن استفاده می‌کند. اکنون یک شرکت امنیتی به نام Positive Technologies پژوهش تازه‌ای انجام داده است تا دریابد که چگونه این زیرسیستم به‌عنوان یک «تهدید کانال جانبی» می‌تواند پردازنده را در معرض سوءاستفاده قرار دهد.

ماکسیم گوریاکی و مارک ارمولوف، پژوهشگران شرکت یادشده که سال گذشته در یافتن یک نقص مربوط به فرم‌ور موتور مدیریت اینتل مشارکت داشتند، سه‌شنبه‌ی هفته‌ی گذشته، یافته‌های آخرین پژوهش خود را منتشر کردند. پژوهش آن‌ها در این مورد تازه، درباره‌ی ویژگی ثبت‌نشده‌ی موتور مدیریت اینتل به نام حالت تولید(Manufacturing Mode) بود که به‌ منظور تسهیل فرآیند تولید برای سازندگان دستگاه طراحی شده است.

پژوهشگران در ابتدا به این موضوع اشاره می‌کنند که وجود حالت تولید و خطرهای بالقوه‌ی پیرامون آن در مستنداتِ در دسترس عموم اینتل ذکر نشده است. آن‌ها سپس می‌نویسند:

حالت تولید موتور مدیریت اینتل به‌ منظور پیکربندی و آزمایش پلتفرم نهایی در هنگام تولید طراحی شده است و به همین ترتیب پیش از فروش و رساندن [دستگاه] به دست کاربران باید غیر فعال (بسته) شود.

نرم‌افزار مورد استفاده برای دسترسی به حالت تولید، بخشی از ابزار سیستم موتور مدیریت اینتل محسوب می‌شود. این اپلیکیشن صرفا در اختیار سازندگان دستگاه همچون اپل قرار گرفته است تا در هنگام فرآیند ساخت و تولید محصول به‌کار گرفته شود و دسترسی عموم به آن امکان‌پذیر نیست. ارمولوف و گوریاکی هر دو بر این باورند که اینتل با فراهم نکردن مستندات عمومی برای این فناوری، کاربران را در معرض خطرات مختلفی قرار می‌دهد؛ از جمله حملاتی که می‌توانند منجر به سرقت اطلاعات، روت‌کیت‌های غیرقابل حذف پایدار و حتی آسیب فیزیکی به سخت‌افزار شوند.

حالت تولید به‌ منظور پیکربندی تنظیمات پلتفرم پیش از عرضه به بازار از طریق فیوزهای برنامه‌نویسی میدانی (FPF)، نوعی حافظه‌ی یک بار قابل برنامه‌نویسی طراحی شده است. حالت تولید همچنین می‌تواند تنظیمات را برای موتور مدیریت اینتل تعیین کند که در سیستم فایل داخلی خود در حافظه‌ی فلش گذرگاه جانبی سریال (SPI) در پارامترهایی به نام CVAR ذخیره شده است.

فرآیند تنظیم فیوزهای برنامه‌نویسی میدانی در دو مرحله انجام می‌شود. در مرحله‌ی نخست مقادیر احتمالا تحت حالت تولید تعریف و در حافظه‌ی موقت ذخیره می‌شوند. گام دوم، یعنی اختصاص مقادیر فیوزهای برنامه‌نویسی میدانی به فیوزها، تنها هنگامی اتفاق می‌افتد که حالت تولید بسته باشد؛ بدین معنی که اگر این حالت غیر فعال نباشد، می‌توان مقادیر را بعدا تغییر داد.

اینتل برای تراشه‌های اولیه‌ی استفاده‌شده قبل از آپولو لیک، حقوق دسترسی به پردازنده‌ی مرکزی، گیگابیت اترنت و موتور مدیریت را حذف کرد تا اگر یکی از آن‌ها در معرض خطر گرفت، بقیه لزوما تحت تاثیر حمله یا آلودگی قرار نگیرند.

در نسخه‌های جدیدتر تراشه، کنترلرهای گذرگاه جانبی سریال دربردارنده‌ی قابلیتی به نام Master Grant هستند که می‌تواند هرگونه حق دسترسی موجود را در یک شناساگر گذرگاه جانبی سریال در تمام عناصر نادیده بگیرد. به‌صورت خلاصه، حالت تولید آنلاک و این امکان برای یک هکر فراهم است که به سادگی از طریق تغییر پیکربندی، دسترسی مسدودشده به یک منطقه‌ی حافظه‌ی گذرگاه جانبی سریال را دور بزند. این مسئله به‌نوبه‌ی خود به هکر امکان می‌دهد تا داده‌های خود را روی بخش‌هایی که اکنون قابل دسترسی هستند، بنویسد.

پژوهشگران در بررسی خود لپ‌تاپ‌های ساخت لنوو و اپل را مورد تجزیه و تحلیل قرار دادند و دریافتند که امکان دسترسی به حالت تولید در مک‌بوک پرو همچنان وجود دارد؛ بدین مفهوم که اپل موفق به غیرفعال‌سازی این ویژگی نشده است. لپ‌تاپ‌های یوگا و تینک‌پدِ ساخت لنوو با هیچ کدام از مشکلات حالت تولید مواجه نبودند.

پژوهشگران یافته‌های خود مبنی بر آسیب‌پذیری دستگاه‌های اپل را که با عنوان CVE-2018-4251 شناخته می‌شد، ابتدای امسال به این شرکت گزارش دادند. اپل سپس اقدام به ساخت یک وصله‌ی امنیتی کرد و در ماه ژوئن آن را درون به‌روزرسانی ۱۰.۱۳.۵ مک اواس های سیرا قرار داد.

صفحه‌ی پشتیبانی اپل این وصله را مرتبط با فرم‌ور توصیف می‌کند و بیان می‌دارد که «یک نرم‌افزار مخرب با حقوق اختصاصی روت احتمالا قادر به تغییر منطقه‌ی حافظه‌ی فلش EFI خواهد بود» و اینکه «مشکل پیکربندی دستگاه با به‌روزرسانی آن برطرف شده است.» کاربران نهایی به جز به‌روزنگاه داشتن مک اواس، کار چندانی از دستشان برنمی‌آید و اگر بسته‌ی الحاقی مورد بحث را نصب نکرده‌اند، باید زودتر نسبت به نصب آن اقدام کنند.

آسیب‌پذیری موتور مدیریت، آخرین مورد از فهرست بلندبالای مشکلات امنیتی مربوط به اینتل محسوب می‌شود که در سال‌های گذشته گریبان این شرکت را گرفته‌اند. در ماه ژانویه، حفره‌های امنیتی اسپکتر و ملت‌داون در پردازنده‌های این شرکت که اجازه‌ی دسترسی به داده‌های محافظت‌شده‌ی حافظه‌ی کرنال را می‌دادند، خبرساز شدند.