Moderne CPUs sind hochkomplexe Gebilde – und zuweilen anfällig für direkte Angriffe. Das zeigten vor einigen Jahren die unter den Bezeichnungen „Spectre“ und „Meltdown“ bekannt gewordenen Prozessor-Sicherheitslücken (siehe ). Wissenschaftler der Technischen Universität Graz und des CISPA - Helmholtz-Zentrum für Informationssicherheit entdeckten jetzt eine neue Schwachstelle, welcher sie den Namen „Collide+Power“ gaben. Diese lässt sich – zumindest theoretisch – für das Abgreifen von Daten ausnutzen, und zwar durch einen unmittelbaren Zugriff auf grundlegende Prozessorfunktionen.


Forscher beschreiben strombasierte Seitenkanalangriffe
„Collide+Power“ ermöglicht den Forschern zufolge sogenannte strombasierte Seitenkanalangriffe. Bei derartigen Attacken werden von den Prozessoren nahezu in Echtzeit ausgegebene Informationen über Veränderungen von Taktfrequenz und Stromverbrauch ausgewertet. Die Funktionsweise beschreiben die Forscher auf einer eigens eingerichteten Webseite. Angreifer können demnach beispielsweise den CPU-Cache mit von ihnen kontrollierten Daten füllen. Werden diese dann vom System überschrieben, etwa mit einem Passwort, kommt es zur Kollision. Das führt zu einem messbaren Anstieg des Stromverbrauchs. Wird dieser Vorgang des Überschreibens mehrere tausendmal wiederholt, kann der Angreifer das Passwort oder andere Inhalte anhand der Kollisionen errechnen.

Angriff erfordert extrem viel Zeit
Für einen erfolgreichen Angriff ist allerdings sehr viel Zeit erforderlich. Die Ermittlung der Daten mithilfe von "Collide+Power" erfolgt laut den Wissenschaftlern mit einer Geschwindigkeit von weit weniger als einem Bit pro Stunde. Die Gefahr, einer solchen Attacke zum Opfer zu fallen, ist folglich äußerst gering. Das muss allerdings nicht auf Dauer so bleiben, denn mit weiteren Maßnahmen wie etwa optimiertem Pre-Fetching ließe sich der Vorgang durchaus beschleunigen, schreiben die Sicherheitsforscher. Sie weisen zudem ausdrücklich darauf hin, dass es sich bei der Schwachstelle, welche Intel-, AMD- und ARM-Prozessoren gleichermaßen betrifft, nicht um einen Fehler in den CPUs handelt. Die Lücke trägt die CVE-Nummer 2023-20583, ARM, Intel und AMD wurden von den Wissenschaftlern informiert.