Περίληψη άρθρου:

Ερευνητές ανακάλυψαν μια ευπάθεια σε δημοφιλείς GPU, συμπεριλαμβανομένων των τσιπ της Apple, της Qualcomm και της AMD, η οποία θα μπορούσε να επιτρέψει σε επιτιθέμενους να κλέψουν δεδομένα από τη μνήμη μιας GPU. Η ευπάθεια, γνωστή ως LeftoverLocals, απαιτεί ο επιτιθέμενος να έχει ήδη αποκτήσει πρόσβαση στη συσκευή του στόχου. Οι ερευνητές εντόπισαν την ευπάθεια σε πολλές mainstream GPU και ξεκίνησαν μια συντονισμένη αποκάλυψη πέρυσι. Ενώ οι GPUs της Nvidia, της Intel και της Arm δεν βρέθηκαν ευάλωτες, η Apple, η Qualcomm και η AMD επιβεβαίωσαν ότι τα τσιπ τους επηρεάστηκαν. Η επιδιόρθωση της ευπάθειας μπορεί να αποδειχθεί δύσκολη λόγω του συντονισμού που απαιτείται μεταξύ των διαφόρων ενδιαφερομένων στο τεχνολογικό οικοσύστημα.

Κύρια σημεία του άρθρου:

• Ερευνητές ανακάλυψαν μια ευπάθεια σε πολλαπλές μάρκες και μοντέλα GPU, συμπεριλαμβανομένων των τσιπ της Apple, της Qualcomm και της AMD.
• Η ευπάθεια, που ονομάζεται LeftoverLocals, θα μπορούσε να επιτρέψει στους επιτιθέμενους να κλέψουν μεγάλες ποσότητες δεδομένων από τη μνήμη μιας GPU.
• Οι GPU δεν σχεδιάστηκαν με προτεραιότητα το απόρρητο των δεδομένων, σε αντίθεση με τις CPU που έχουν βελτιωθεί για λόγους ασφαλείας.
• Το LeftoverLocals απαιτεί κάποια πρόσβαση στο λειτουργικό σύστημα μιας συσκευής-στόχου για να γίνει αντικείμενο εκμετάλλευσης.
• Η ευπάθεια εκθέτει δεδομένα από την τοπική μνήμη των ευάλωτων GPU, συμπεριλαμβανομένων των ερωτημάτων και των απαντήσεων που παράγονται από μεγάλα γλωσσικά μοντέλα (LLM).
• Η Apple, η Qualcomm και η AMD επιβεβαίωσαν ότι τα τσιπ τους επηρεάζονται από την ευπάθεια.

Αναλυτικά το άρθρο:

Η επιδιόρθωση κάθε συσκευής που επηρεάζεται από την ευπάθεια LeftoverLocals - η οποία περιλαμβάνει ορισμένα iPhones, iPads και Mac - μπορεί να αποδειχθεί δύσκολη.

Καθώς όλο και περισσότερες εταιρείες αυξάνουν την ανάπτυξη συστημάτων τεχνητής νοημοσύνης, στρέφονται όλο και περισσότερο σε τσιπ μονάδων επεξεργασίας γραφικών (GPU) για την υπολογιστική ισχύ που χρειάζονται για την εκτέλεση μεγάλων γλωσσικών μοντέλων (LLM) και για τη γρήγορη επεξεργασία δεδομένων σε μαζική κλίμακα. Μεταξύ της επεξεργασίας βιντεοπαιχνιδιών και της τεχνητής νοημοσύνης, η ζήτηση για GPU δεν ήταν ποτέ υψηλότερη και οι κατασκευαστές τσιπ σπεύδουν να ενισχύσουν την προσφορά. Σε νέα ευρήματα που κυκλοφόρησαν σήμερα, ωστόσο, οι ερευνητές επισημαίνουν μια ευπάθεια σε πολλές μάρκες και μοντέλα mainstream GPU -συμπεριλαμβανομένων των τσιπ της Apple, της Qualcomm και της AMD- που θα μπορούσε να επιτρέψει σε έναν εισβολέα να κλέψει μεγάλες ποσότητες δεδομένων από τη μνήμη μιας GPU.

Η βιομηχανία πυριτίου έχει περάσει χρόνια βελτιώνοντας την ασφάλεια των κεντρικών μονάδων επεξεργασίας, ή αλλιώς CPU, ώστε να μην διαρρέουν δεδομένα στη μνήμη, ακόμη και όταν έχουν κατασκευαστεί για να βελτιστοποιήσουν την ταχύτητα. Ωστόσο, δεδομένου ότι οι GPU σχεδιάστηκαν για ακατέργαστη επεξεργαστική ισχύ γραφικών, δεν έχουν σχεδιαστεί στον ίδιο βαθμό με προτεραιότητα την προστασία της ιδιωτικότητας των δεδομένων. Καθώς, όμως, η δημιουργική τεχνητή νοημοσύνη και άλλες εφαρμογές μηχανικής μάθησης επεκτείνουν τις χρήσεις αυτών των τσιπ, οι ερευνητές της εταιρείας ασφάλειας Trail of Bits με έδρα τη Νέα Υόρκη λένε ότι οι ευπάθειες στις GPU αποτελούν ολοένα και πιο επείγουσα ανησυχία.

"Υπάρχει μια ευρύτερη ανησυχία για την ασφάλεια σχετικά με αυτές τις GPU που δεν είναι τόσο ασφαλείς όσο θα έπρεπε και διαρρέουν σημαντικό όγκο δεδομένων", λέει στο WIRED ο Heidy Khlaaf, διευθυντής μηχανικής του Trail of Bits για την εξασφάλιση της AI και της μηχανικής μάθησης. "Πρόκειται για δεδομένα που κυμαίνονται από 5 megabytes έως 180 megabytes. Στον κόσμο των CPU, ακόμη και ένα bit είναι πάρα πολλά για να αποκαλυφθούν".

Για να εκμεταλλευτούν την ευπάθεια, την οποία οι ερευνητές αποκαλούν LeftoverLocals, οι επιτιθέμενοι θα πρέπει να έχουν ήδη αποκτήσει κάποια πρόσβαση στο λειτουργικό σύστημα στη συσκευή ενός στόχου. Οι σύγχρονοι υπολογιστές και οι διακομιστές είναι ειδικά σχεδιασμένοι για να απομονώνουν τα δεδομένα, ώστε πολλοί χρήστες να μπορούν να μοιράζονται τους ίδιους πόρους επεξεργασίας χωρίς να έχουν πρόσβαση στα δεδομένα των άλλων. Αλλά μια επίθεση LeftoverLocals σπάει αυτά τα τείχη. Η εκμετάλλευση της ευπάθειας θα επέτρεπε σε έναν χάκερ να εξαφανίσει δεδομένα στα οποία δεν θα έπρεπε να έχει πρόσβαση από την τοπική μνήμη των ευάλωτων GPU, εκθέτοντας όποια δεδομένα τυχαίνει να βρίσκονται εκεί για να τα πάρει, τα οποία θα μπορούσαν να περιλαμβάνουν ερωτήματα και απαντήσεις που παράγονται από LLMs καθώς και τα βάρη που οδηγούν την απάντηση.

Στην απόδειξη της έννοιας, όπως φαίνεται στο παρακάτω GIF, οι ερευνητές επιδεικνύουν μια επίθεση όπου ένας στόχος -που φαίνεται στα αριστερά- ζητά από το LLM ανοικτού κώδικα Llama.cpp να παράσχει λεπτομέρειες σχετικά με το περιοδικό WIRED. Μέσα σε λίγα δευτερόλεπτα, η συσκευή του επιτιθέμενου -που φαίνεται στα δεξιά- συλλέγει την πλειονότητα της απάντησης που παρέχει το LLM πραγματοποιώντας μια επίθεση LeftoverLocals στην ευάλωτη μνήμη της GPU. Το πρόγραμμα επίθεσης που δημιούργησαν οι ερευνητές χρησιμοποιεί λιγότερες από 10 γραμμές κώδικα.

Το περασμένο καλοκαίρι, οι ερευνητές δοκίμασαν 11 τσιπ από επτά κατασκευαστές GPU και πολλαπλά αντίστοιχα πλαίσια προγραμματισμού. Εντόπισαν την ευπάθεια LeftoverLocals σε GPUs των Apple, AMD και Qualcomm και ξεκίνησαν μια εκτεταμένη συντονισμένη αποκάλυψη της ευπάθειας τον Σεπτέμβριο σε συνεργασία με το Κέντρο Συντονισμού US-CERT και την ομάδα Khronos, έναν οργανισμό προτύπων που επικεντρώνεται στα τρισδιάστατα γραφικά, τη μηχανική μάθηση και την εικονική και επαυξημένη πραγματικότητα.

Οι ερευνητές δεν βρήκαν αποδείξεις ότι οι GPUs της Nvidia, της Intel ή της Arm περιέχουν την ευπάθεια LeftoverLocals, αλλά η Apple, η Qualcomm και η AMD επιβεβαίωσαν στο WIRED ότι επηρεάζονται. Αυτό σημαίνει ότι γνωστά τσιπ όπως η AMD Radeon RX 7900 XT και συσκευές όπως το iPhone 12 Pro της Apple και το MacBook Air M2 της Apple είναι ευάλωτα. Οι ερευνητές δεν βρήκαν το ελάττωμα στις GPU της Imagination που δοκίμασαν, αλλά και άλλες μπορεί να είναι ευάλωτες.

Ένας εκπρόσωπος της Apple αναγνώρισε το LeftoverLocals και σημείωσε ότι η εταιρεία απέστειλε διορθώσεις με τους τελευταίους επεξεργαστές M3 και A17, τους οποίους παρουσίασε στα τέλη του 2023. Αυτό σημαίνει ότι η ευπάθεια φαίνεται να είναι ακόμα παρούσα σε εκατομμύρια υπάρχοντα iPhone, iPad και MacBooks που εξαρτώνται από προηγούμενες γενιές του πυριτίου της Apple. Στις 10 Ιανουαρίου, οι ερευνητές του Trail of Bits επανεξέτασαν την ευπάθεια σε διάφορες συσκευές της Apple. Διαπίστωσαν ότι το MacBook Air M2 της Apple ήταν ακόμη ευάλωτο, αλλά το iPad Air 3ης γενιάς A12 φαίνεται να έχει επιδιορθωθεί.

Εκπρόσωπος της Qualcomm δήλωσε στο WIRED ότι η εταιρεία βρίσκεται "στη διαδικασία" παροχής ενημερώσεων ασφαλείας στους πελάτες της, προσθέτοντας: "Ενθαρρύνουμε τους τελικούς χρήστες να εφαρμόζουν ενημερώσεις ασφαλείας καθώς αυτές καθίστανται διαθέσιμες από τους κατασκευαστές των συσκευών τους". Οι ερευνητές του Trail of Bits λένε ότι η Qualcomm επιβεβαίωσε ότι έχει κυκλοφορήσει patches firmware για την ευπάθεια.

Η AMD κυκλοφόρησε μια συμβουλευτική ασφαλείας την Τετάρτη, στην οποία περιγράφει λεπτομερώς τα σχέδιά της να προσφέρει διορθώσεις για το LeftoverLocals. Οι προστασίες θα είναι "προαιρετικές ελαφρύνσεις" που θα κυκλοφορήσουν τον Μάρτιο.

Από την πλευρά της, η Google αναφέρει σε ανακοίνωσή της ότι "έχει επίγνωση αυτής της ευπάθειας που επηρεάζει τις GPU της AMD, της Apple και της Qualcomm. Η Google έχει κυκλοφορήσει διορθώσεις για συσκευές ChromeOS με επηρεαζόμενες GPUs AMD και Qualcomm".

Οι ερευνητές του Trail of Bits προειδοποιούν ότι δεν θα είναι εύκολο να εξαπλωθούν αυτές οι διάφορες διορθώσεις. Ακόμα και όταν οι κατασκευαστές GPU κυκλοφορήσουν χρήσιμα patches, οι κατασκευαστές συσκευών που ενσωματώνουν τα τσιπ τους σε προσωπικούς υπολογιστές και άλλες συσκευές πρέπει στη συνέχεια να συσκευάσουν και να μεταβιβάσουν τις προστασίες στους τελικούς χρήστες. Με τόσους πολλούς παίκτες στο παγκόσμιο οικοσύστημα τεχνολογίας, είναι δύσκολο να συντονιστούν όλα τα μέρη.

Αν και η εκμετάλλευση της ευπάθειας θα απαιτούσε κάποια υπάρχουσα πρόσβαση στις συσκευές των στόχων, οι πιθανές επιπτώσεις είναι σημαντικές, δεδομένου ότι είναι σύνηθες για τους επιτιθέμενους με υψηλά κίνητρα να πραγματοποιούν παραβιάσεις hacks με την αλυσιδωτή σύνδεση πολλαπλών ευπαθειών μεταξύ τους. Επιπλέον, η δημιουργία "αρχικής πρόσβασης" σε μια συσκευή είναι ήδη απαραίτητη για πολλούς κοινούς τύπους ψηφιακών επιθέσεων.

"Αν καταφέρεις να μπεις στο ίδιο σύστημα, μπορείς απλά να ακούσεις κάποιον και τις απαντήσεις της συνεδρίας συνομιλίας LLM - αυτό ήταν ένα απλό πράγμα", λέει ο Tyler Sorensen, ο μηχανικός έρευνας ασφάλειας της Trail of Bits που βρήκε την ευπάθεια και είναι ερευνητής μηχανικής ασφάλειας στο Πανεπιστήμιο της Καλιφόρνιας, στη Σάντα Κρουζ.

Οι ερευνητές σημειώνουν ότι οι διαρροές από διαδικασίες μηχανικής μάθησης σε άλλες εφαρμογές θα μπορούσαν να είναι πολύ ευαίσθητες - για παράδειγμα, εάν μια εφαρμογή ιατρικής υγείας για κινητά ενσωματώνει υποστήριξη ασθενών με τεχνητή νοημοσύνη. Αλλά μια GPU θα μπορούσε να επεξεργάζεται οποιοδήποτε αριθμό πραγμάτων, και το απόρρητο των δεδομένων στη μνήμη είναι ένα θεμελιώδες στοιχείο που πρέπει να ενσωματωθεί στο πυρίτιο από την αρχή. Στα έξι χρόνια που μεσολάβησαν από την αποκάλυψη των ευπαθειών των επεξεργαστών CPU Spectre και Meltdown, οι κατασκευαστές τσιπ έχουν επενδύσει σημαντική ενέργεια στην ενίσχυση και βελτίωση της προστασίας της μνήμης, όχι μόνο μέσω επιδιορθώσεων υλικολογισμικού για τα υπάρχοντα τσιπ, αλλά και μέσω φυσικών βελτιώσεων στον τρόπο σχεδιασμού των CPU. Αυτές οι αλλαγές στο υλικό χρειάζονται χρόνια για να υλοποιηθούν, επειδή ο κατασκευαστικός αγωγός σχεδιάζεται πολύ νωρίτερα.

"Εάν ένας χρήστης εκτελεί στο ίδιο τοπικό μηχάνημα με κακόβουλο λογισμικό, τότε τα τελικά περιεχόμενα της μνήμης scratchpad του προγράμματος GPU που χρησιμοποιείται για την προσωρινή αποθήκευση δεδομένων κατά τη διάρκεια της λειτουργίας θα μπορούσαν να είναι ορατά από έναν κακόβουλο παράγοντα", δήλωσε η AMD σχετικά με την έρευνα Trail of Bits. Η εταιρεία διευκρίνισε ότι "η AMD πιστεύει επίσης ότι δεν υπάρχει έκθεση σε κανένα άλλο μέρος του συστήματος και ότι δεν τίθενται σε κίνδυνο τα δεδομένα των χρηστών".

Στην πράξη, ωστόσο, τα χρόνια ευπάθειας της μνήμης των επεξεργαστών έχουν καταδείξει τους πιθανούς κινδύνους και τη σημασία της αντιμετώπισης τέτοιων ατελειών.

"Έχουμε δει αυτές τις διαρροές που έχουν επιδιορθωθεί, οι οποίες αποκάλυπταν πράγματα όπως τα δεδομένα του προγράμματος περιήγησης στο διαδίκτυο και αυτά είναι πολύ ευαίσθητα", λέει ο Khlaaf του Trail of Bits, αναφερόμενος σε προηγούμενα παραδείγματα διαρροών που σχετίζονται με τη μνήμη από τα τσιπ.

Τους τελευταίους μήνες, άλλα ευρήματα σχετικά με την ανασφάλεια των GPU υπογράμμισαν την πιθανή απειλή διαρροής πληροφοριών σε αυτούς τους ολοένα και πιο δημοφιλείς και ζωτικής σημασίας επεξεργαστές. Καθώς η δημιουργική τεχνητή νοημοσύνη (AI) γνώρισε μεγάλη άνθηση τους τελευταίους 18 μήνες, οι εταιρείες έτρεξαν να αγοράσουν -και σε ορισμένες περιπτώσεις να κατασκευάσουν τις δικές τους- ταχύτερες και πιο ικανές GPU. Οι ερευνητές του Trail of Bits λένε ότι η ευπάθεια LeftoverLocals υπογραμμίζει ότι πολλά από τα εξαρτήματα που απαιτούνται για την ανάπτυξη και την εκτέλεση της μηχανικής μάθησης γενικά έχουν "άγνωστους κινδύνους ασφαλείας" και "δεν έχουν ελεγχθεί αυστηρά από ειδικούς ασφαλείας".

Οι ερευνητές λένε ότι το LeftoverLocals αποτελεί μέρος ενός κρίσιμου κινήματος για την ευαισθητοποίηση σχετικά με την ανάγκη για βελτιώσεις ασφαλείας GPU παρόμοιες με αυτές που έχουν εφαρμοστεί για τις CPU. Αυτό είναι ιδιαίτερα πιεστικό καθώς όλο και περισσότεροι προμηθευτές, όπως η Apple, ενσωματώνουν CPU και GPU μαζί για μέγιστη απόδοση σε συστήματα γνωστά ως "systems-on-a-chip" ή SoC.

"Η GPU έχει πρόσβαση σε αυτή την πλήρη μνήμη και, όπως βλέπουμε, μπορεί να είναι αρκετά ανασφαλής", λέει ο Sorensen της Trail of Bits. "Αντί να το διαχωρίζετε, το βάζετε μέσα στο κέντρο του SoC. Και έτσι πρέπει να σκεφτούμε πολύ σοβαρά την ασφάλεια της GPU, ειδικά σε αυτό το πλαίσιο όπου η GPU έχει πλέον δυνητικά πρόσβαση και στη μνήμη της CPU".

Οι ερευνητές προειδοποιούν επίσης ότι τα ζητήματα ασφάλειας της μνήμης GPU και οι ευπάθειες όπως το LeftoverLocals θα γίνουν ακόμη πιο σημαντικά καθώς η εικονικοποίηση GPU θα γίνεται πιο κοινή σε υποδομές δημόσιου cloud και περισσότερες εφαρμογές AI θα μετακινούνται από την τοπική εφαρμογή στην εκτέλεση σε κοινόχρηστα περιβάλλοντα cloud. Χωρίς σημαντικές μεταρρυθμίσεις στην προστασία της ιδιωτικότητας της μνήμης GPU, αυτές οι μεταβάσεις θα μπορούσαν να δημιουργήσουν πρόσφορο έδαφος για τους επιτιθέμενους να αρπάξουν εύκολα μεγάλες ποσότητες δεδομένων από πολλούς στόχους σε μία μόνο επίθεση.

"Νομίζω ότι το συναντήσαμε την κατάλληλη στιγμή", λέει ο Sorensen. "Πολλοί από τους μεγαλύτερους παρόχους cloud δεν επιτρέπουν πολλαπλούς χρήστες στην ίδια μηχανή GPU, αλλά αυτό είναι κάτι που πιθανότατα θα αλλάξει στο μέλλον. Επομένως, νομίζω ότι πρέπει να είμαστε υπερ-ευαίσθητοι σε αυτό και να έχουμε ένα πιο ισχυρό μοντέλο ασφάλειας για τις GPU και τον τρόπο με τον οποίο αναπτύσσονται. Αυτό θα πρέπει να εμπνεύσει τους ανθρώπους να πουν: "Πρέπει να είμαστε προσεκτικοί όταν το κάνουμε αυτό"".

Πηγή: A Flaw in Millions of Apple, AMD, and Qualcomm GPUs Could Expose AI Data