Falha de segurança LeftoverLocals expõe dados confidenciais na memória da GPU
Trail of Bits, uma renomada empresa de segurança cibernética com sede na cidade de Nova York, trouxe recentemente à luz “LeftoverLocals”, uma vulnerabilidade aguda que permite a recuperação de dados gerados por um processo dentro da memória local de uma Unidade de Processamento Gráfico (GPU) de vários fabricantes como Apple, Qualcomm, AMD e Imagination Technologies.
Em essência, a liberação insuficiente da memória da GPU durante as transições de tarefas pode permitir o acesso não autorizado a informações confidenciais armazenadas na unidade de processamento gráfico integrada de um sistema, comprometendo assim a confidencialidade dos dados e violando os direitos de privacidade individuais.
Para tirar partido desta falha de segurança, os cibercriminosos necessitam de um certo nível de acesso ao sistema operativo no dispositivo visado onde pretendem roubar informações sensíveis. Computadores e servidores normalmente fornecem um mecanismo para alocação compartilhada de recursos entre vários usuários, mantendo a privacidade dos dados, mas a vulnerabilidade LeftoverLocals mina essas salvaguardas.
Os investigadores enfatizaram que o LeftoverLocals prejudica a estrutura geral de segurança das Unidades de Processamento Gráfico (GPUs), particularmente em relação aos modelos Large Language Models (LLM) e Machine Learning (ML) executados nesses dispositivos afetados. Numa era em que as GPUs são frequentemente combinadas com Inteligência Artificial (IA), proteger informações confidenciais assume importância primordial.
Pesquisadores da Trail of Bits desenvolveram com sucesso uma prova de conceito demonstrando que é possível para um invasor espionar a interação de outro usuário com um modelo de linguagem grande, como llama.cpp, mesmo quando eles estão operando em processos ou contêineres separados.
Vimos por este meio divulgar LeftoverLocals, uma exploração que permite espionar respostas LLM por meio de vazamento de memória local da GPU de um processo diferente nas GPUs Apple, Qualcomm, AMD e Imagination (CVE-2023-4969). Por favor, encontre mais informações no link fornecido.
Trilha de Bits (@trailofbits) 16 de janeiro de 2024
Na prova de conceito demonstrada por meio de um tweet e acessível via GitHub, observa-se o sistema objetivo posicionado à esquerda, solicitando ao modelo de linguagem grande de código aberto Llama.cpp informações sobre a Trilha de Bits. Em poucos segundos, o gadget de um adversário situado no lado direito acumula a maior parte da resposta disseminada pelo modelo linguístico substancial da memória da unidade de processamento gráfico local por meio da suscetibilidade LeftoverLocals. Este ataque formulado pelos especialistas necessita de menos de dez linhas de código.
A retenção de variáveis locais na arquitetura de memória de certas unidades de processamento gráfico (GPUs) pode resultar na preservação não intencional de aproximadamente 5,5 megabytes de informações para cada invocação de GPU em uma AMD Radeon RX 7900 XT. Ao utilizar um modelo de linguagem grande como o Llama.cpp e conduzir consultas com um modelo de 7 bilhões de parâmetros, esse número equivale a aproximadamente 181 megabytes de dados vazados.
Os dados fornecidos oferecem amplos meios para recuperar a reação da IA na perfeição, o que levanta a preocupação de que uma parte considerável da estrutura de aprendizagem automática compreende riscos de segurança não identificados que não foram submetidos a um escrutínio rigoroso por profissionais de segurança cibernética.
A referida falha de segurança, designada como CVE-2023-4969, foi detectada em setembro, proporcionando tempo suficiente para que os produtores de unidades de processamento gráfico implementassem medidas corretivas. Por outro lado, parece que a Apple abordou apenas alguns dispositivos afetados, negligenciando outros, como o MacBook Air (M2), que permanece suscetível à exploração. Por outro lado, o iPhone 15 parece apresentar menor exposição a LeftoverLocals em comparação com os seus antecessores, devido à incorporação de salvaguardas direcionadas pelos modelos A17 e M3.
Embora a AMD tenha reconhecido a vulnerabilidade nos seus dispositivos e esteja a investigar ativamente possíveis soluções, ainda não implementou quaisquer medidas corretivas neste momento. A última atualização da empresa sobre a situação pode ser encontrada em comunicado público disponível para referência.
A AMD anunciou sua intenção de introduzir um novo mecanismo que restringe a execução simultânea de processos na unidade de processamento gráfico (GPU) e apaga a memória local alocada para cada processo entre dispositivos compatíveis.
A referida medida de segurança destina-se a ser supervisionada por pessoal autorizado, em vez de ser ativada automaticamente. A AMD planeja implementar essas proteções por meio de melhorias de driver futuras, que deverão estar disponíveis a partir de março do próximo ano.
É possível que outros dispositivos também sejam afetados pelo lançamento do firmware da Qualcomm, embora ele só tenha sido lançado para alguns dispositivos no momento.
Em relação às GPUs Imagination, embora os investigadores não tenham conseguido detectar LeftoverLocals diretamente nos dispositivos examinados, o Google reconheceu que certas GPUs nesta categoria permanecem suscetíveis devido à sua arquitetura. Em resposta, a Imagination forneceu uma atualização em dezembro para resolver o problema.
As unidades de processamento gráfico (GPUs) da NVIDIA parecem estar imunes à recente vulnerabilidade de segurança, possivelmente devido ao fato de a empresa já ter sofrido ataques cibernéticos e implementado medidas para proteger seu armazenamento de dados. Além disso, as soluções baseadas em ARM parecem não ser afetadas. No entanto, a situação da Intel parece mais terrível, já que os pesquisadores relatam não conseguir executar a exploração com sucesso em nenhuma de suas GPUs. No entanto, o Google lançou patches para dispositivos Chrome OS equipados com GPUs AMD e Qualcomm afetadas.
*️⃣ Link da fonte:
LeftoverLocals , https://t.co/rIqfClarLJ , pic.twitter.com/GE7bKYWnXJ , 16 de janeiro de 2024 , disponível no Github , CVE-2023-4969 , pode ser lido aqui ,