Secondo i ricercatori di Trail of Bits, una vulnerabilità affligge milioni di GPU di Apple, AMD e Qualcomm, nota come LeftoverLocals, che potrebbe rivelare i dati dell’intelligenza artificiale (AI) generativa.
“LeftoverLocals è una vulnerabilità preoccupante sotto molteplici aspetti”, commenta Sandra Marsico – CSM Swascan. Ecco quali e come mitigare il rischio, dal momento che l’applicazione di patch a tutti i dispositivi interessati dalla falla potrebbe rivelarsi più complicato del previsto.
Indice degli argomenti
LeftoverLocals: la falla nelle GPU che potrebbe rivelare i dati dell’AI
La vulnerabilità LeftoverLocals riguarda alcuni modelli di iPhone, iPad e Mac, ma in realtà affligge varie marche e modelli di GPU mainstream, compresi i chip di Apple, Qualcomm e AMD. La falla potrebbe consentire a un aggressore di rubare grandi quantità di dati dalla memoria di una GPU.
Lo sviluppo di sistemi di intelligenza artificiale costringe le aziende a rivolgersi sempre più ai chip delle unità di elaborazione grafica (GPU) per ottenere la potenza di calcolo necessaria a eseguire modelli linguistici di grandi dimensioni (LLM) e all’elaborazione veloce di dati su scala massiccia.
Fra l’elaborazione dei videogiochi e l’intelligenza artificiale, la domanda di GPU non è infatti mai stata così elevata e i produttori di chip sono pronti ad incrementare l’offerta.
Tuttavia, questa “vulnerabilità è preoccupante sotto molteplici aspetti”, continua Marsico: “Innanzitutto perché, come affermato dagli stessi ricercatori di Trail of Bits, incide sulla postura di sicurezza delle applicazione GPU nel loro complesso (con particolare rilevanza per i modelli LLM e ML eseguiti sulle piattaforme impattate). In secondo luogo, poiché lo sfruttamento della vulnerabilità, una volta a bordo macchina, richiede delle conoscenze da ‘programmatore amatoriale’ (almeno per la parte relativa all’ottenimento dei dati rubati)”.
Il motivo di questa scarsa protezione risiede nel fatto che l’industria del silicio ha perfezionato in anni la sicurezza delle unità di elaborazione centrale, o CPU, in modo da non perdere dati in memoria anche quando sono costruite per ottimizzare la velocità. Invece le GPU sono state progettate per la potenza di elaborazione grafica grezza, e non mettendo la privacy dei dati come priorità. Tuttavia, poiché l’AI generativa ed altre applicazioni di apprendimento automatico ampliano l’uso di questi chip, i ricercatori dell’azienda di sicurezza Trail of Bits affermano che le vulnerabilità delle GPU sono un problema sempre più urgente.
Inoltre, “la componente di ‘ascolto’ del programma attaccante può essere implementata in modo estremamente efficiente, permettendo di essere eseguita ripetutamente e costantemente, senza quasi alcuno evidente degrado delle prestazioni. Intercettare la compromissione può quindi essere un compito assolutamente non banale”, avverte Marsico.
I dettagli
Per sfruttare la vulnerabilità, gli attaccanti dovrebbero aver già stabilito un accesso al sistema operativo sul dispositivo dell’obiettivo.
I computer e i server moderni sono progettati specificamente per isolare i dati in modo che più utenti possano condividere le stesse risorse di elaborazione senza poter accedere ai dati degli altri. Ma un attacco LeftoverLocals abbatte queste difese.
“La vulnerabilità LeftoverLocals”, evidenzia Martina Fonzo, SOC Analyst – Swascan, “mette in evidenza l’importanza cruciale di potenziare la sicurezza delle GPU, specialmente nel contesto dell’ampio utilizzo in applicazioni di intelligenza artificiale e machine learning. La dimostrazione pratica dell’attacco mette in luce la capacità dei criminal hacker di estrarre dati sensibili dalla memoria delle GPU, sottolineando l’urgenza di rafforzare la sicurezza di queste unità”.
Lo sfruttamento della vulnerabilità consentirebbe a un hacker di esfiltrare dati – a cui non dovrebbe essere in grado di accedere – dalla memoria locale delle GPU vulnerabili, esponendo qualsiasi dato lì presente. Dati che potrebbero includere le query e le risposte generate dagli LLM, nonché la guida alla risposta.
“Le dichiarazioni di AMD, Apple e Qualcomm riconoscendo l’impatto della vulnerabilità indicano un grado di consapevolezza, ma la sfida principale risiede nella distribuzione efficace delle correzioni nell’ampio ecosistema tecnologico, considerando anche la complessità nell’applicare correzioni a dispositivi già in circolazione, come iPhone e MacBook, che rende il problema ancor più critico. Inoltre, la crescente virtualizzazione delle GPU nell’infrastruttura cloud pubblica aggiunge una nuova dimensione di rischio, evidenziando la necessità di riforme significative nella privacy della memoria delle GPU”, sottolinea Martina Fonzo.
AMD Radeon RX 7900 XT e dispositivi come iPhone 12 Pro e M2 MacBook Air di Apple sono vulnerabili. I ricercatori non hanno trovato la falla nelle GPU Imagination testate, ma altre potrebbero essere vulnerabili.
Come proteggersi
Mitigare il rischio di LeftoverLocals potrebbe essere più complesso del previsto, ma soprattutto dovrà coinvolgere i vendor delle GPU. “Le attività di mitigazione richiedono infatti un coordinamento complesso, tra rilasci di patch da parte dei produttori di GPU, installazione delle stesse da parte degli utenti sia finali che da parte, ad esempio, dei GPU Cloud Provider”, mette in guardia Marsico.
“Sicuramente LeftoverLocals dimostra quanto si senta la mancanza, allo stato attuale, di una serie di specifiche di sicurezza condivise che vadano a regolamentare come le GPU debbano gestire i dati sensibili, e quanto sia necessario effettuare uno screening approfondito di tutti quegli ambienti dove le GPU vengano utilizzate per processare dati sensibili”, conclude Marsico.
“La vulnerabilità LeftoverLocals sottolinea la necessità critica di una maggiore attenzione alla sicurezza nel design delle GPU, specialmente nell’era dell’intelligenza artificiale e dell’apprendimento automatico dove queste si diffondono”, spiega Riccardo Michetti, Senior SOC Analyst – Swascan.
“La difficoltà nel garantire patch efficaci su una vasta gamma di dispositivi evidenzia ulteriormente la complessità e l’urgenza del problema”, avverte Riccardo Michetti: “È fondamentale che i produttori prendano azioni immediate per mitigare i rischi associati“.
É importante quindi sottolineare “la necessità di implementare miglioramenti nella sicurezza delle GPU, per mitigare i rischi associati a possibili attacchi sofisticati”, conclude Martina Fonzo: “Questa necessità diventa ancor più critica nel contesto della crescente adozione di queste unità in ambiti critici come l’intelligenza artificiale e il machine learning”.
