Vulnerabilidade afeta GPUs de Apple, Qualcomm e AMD e pode expor dados
Por André Lourenti Magalhães • Editado por Douglas Ciriaco |
Pesquisadores da empresa de cibersegurança Trail of Bits revelaram uma vulnerabilidade encontrada em GPUs da Apple, AMD e Qualcomm que pode expor uma parte dos dados dos usuários. A falha de segurança recebeu o nome de LeftoverLocals e pode afetar milhares de modelos de PCs e celulares.
- Kaspersky detalha o “ataque mais sofisticado” já visto em iPhone
- Dados de todos os brasileiros foram expostos na web, diz site
A ameaça foi identificada pelo código CVE-2023-4969 e afeta os protocolos de segurança no processamento de das GPUs, especialmente no uso de grandes modelos de linguagens (LLMs), usados para abastecer ferramentas de IA generativa, e outros modelos de aprendizado de máquina.
O LeftoverLocals consegue recuperar uma parte da memória local, armazenada na GPU, e criar um ataque de prova de conceito (PoC) para acessar as mesmas informações em outro lugar e expor dados sensíveis. Dessa forma, invasores poderiam coletar quais respostas um usuário obteve ao usar uma IA, por exemplo.
Um teste feito com a GPU AMD Radeon RX 7900 XT revela que até 5,5 MB em dados podem ser vazados num único uso de LLM, podendo chegar a até 180 MB em vazamentos — no caso, o modelo usado foi o llama.cpp 7B.
O que dizem as fabricantes
A vulnerabilidade foi descoberta pelo professor Tyler Sorensen, da UCSC, dos EUA, e divulgada no CERT Coordination Center da universidade Carnegie Melon. A empresa e o centro de estudos entraram em contato com as fabricantes desde setembro de 2023 e obtiveram o retorno de algumas marcas.
É importante reforçar que Apple e Qualcomm dominam o segmento dos chips para celulares, enquanto a AMD é uma das principais fabricantes de GPUs para computadores, então muitas pessoas poderiam estar expostas.
A Apple informa que resolveu o problema com uma série de patches para os dispositivos com os processadores A17 e M3, mas o problema aparenta continuar no MacBook Air com o chip M2. O iPhone 15, por sua vez, não demonstrou ter a falha de segurança nos testes.
A AMD confirmou que investiga a situação nos dispositivos afetados, enquanto a Qualcomm disponibilizou a atualização de firmware versão 2.07 para corrigir o problema em alguns dispositivos. A Imagination lançou uma correção para o sistema em dezembro de 2023.
Por fim, NVIDIA e a Arm informaram que os respectivos dispositivos não foram impactados com a falha.
Fonte: Trail of Bits