В блоге компании занимающейся вопросами безопасности Trail of Bits, продемонстрировали проблему, из-за которой злоумышленники могут получить данные из памяти видеокарты компьютера. Хакеры могут перехватывать данные из памяти при взаимодействии жертвы и запущенной локально модели искусственного интеллекта (ИИ).
Это серьезное опасение относительно уязвимости графических процессоров (GPU), которое говорит о том, что они могут не обладать необходимым уровнем безопасности и подвержены значительной утечке данных. Это может сделать GPU-приложения менее безопасными, особенно те, которые используют модели с большой памятью (LLM) и машинное обучение (ML) на пострадавших видеокартах. Учитывая на январь 2024 года бум самой технологии, это существенный риск.
Воспользовавшись этой уязвимостью, злоумышленники могут подслушать, что делает пользователь на своем компьютере. Например, злоумышленники могут «подслушивать» интерактивный сеанс работы с определенной программой, даже если она запущена в другой программе или контейнере. Для того чтобы продемонстрировать то же самое на примере, специалисты Trail of Bits показывают, как кто-то может совершить своего рода компьютерную атаку. Всего за несколько секунд злоумышленник справа получает большую часть информации, которую получает программа. Потенциальный объем данных составляет от 5 Мб до 180 Мб, что значительно больше, чем в случае с процессорами, где даже раскрытие одного бита считается чрезмерным.
Проблема затрагивает графические процессоры от компаний Apple, Qualcomm, AMD и Imagination. Авторы блога называют эту уязвимость LeftoverLocals, которая, по их определению, представляет собой восстановление данных из памяти GPU, созданной другим процессом на графических процессорах. Уязвимость подчеркивает, что многие части стека разработки ML имеют неизвестные риски безопасности и не были тщательно проверены экспертами по безопасности. Для того чтобы воспользоваться уязвимостью под названием LeftoverLocals, злоумышленники должны получить контроль над компьютером юзера. Обычно компьютеры настроены таким образом, что разные пользователи могут совместно использовать одни и те же ресурсы, не видя при этом содержимого друг друга. Однако LeftoverLocals позволяет злоумышленникам обойти эту защиту.
Когда Trail of Bits сообщила о проблеме, компания Apple отреагировала на нее и исправила некоторые устройства, но некоторые устройства, например MacBook Air, все еще имеют эту проблему. С последними моделями iPhone, похоже, все в порядке, но подробности об исправлениях для некоторых процессоров неясны. В AMD на январь 2024 года знают о проблеме и ищут способы ее решения. Qualcomm, с другой стороны, выпустила патч для некоторых устройств, но другие все еще могут быть затронуты. Компания Google также подтвердила, что проблема была обнаружена на некоторых графических процессорах Imagination. Для Imagination разработчик уже выпустил исправление в своем последнем выпуске DDK 23.3, доступном для клиентов в декабре 2023 года. Компании ARM и NVIDIA заявили, что их устройства в настоящее время не затронуты этой проблемой.
Специалисты по ИБ из Trail of Bits также подчеркнули необходимость сделать всю систему GPU более сильной и безопасной, поскольку они используются во многих приложениях, в том числе в тех, которые связаны с сохранением конфиденциальности. Это означает создание четких и сильных правил, которые объясняют, как должны вести себя программы на GPU и как GPU должны работать с остальными частями компьютерной системы.
