LeftoverLocals, una falla permette di ottenere dati sensibili dalla memoria delle GPU

LeftoverLocals, una falla permette di ottenere dati sensibili dalla memoria delle GPU

LeftoverLocals è il nome di una vulnerabilità che colpisce diversi chip grafici di Apple, Qualcomm, AMD e Imagination Technologies. La falla permette di accedere a dati nella memoria locale della GPU, un problema che ha riflessi nell'uso di grandi modelli linguistici e applicazioni di apprendimento automatico.

di pubblicata il , alle 15:31 nel canale Schede Video
ARMIntelNVIDIAAppleQualcommImagination TechnologiesAMD
 

Trail of Bits, società di sicurezza newyorkese, ha identificato "LeftoverLocals", una vulnerabilità che consente di recuperare dati, creati da un altro processo, dalla memoria locale di una GPU. Il problema colpisce le GPU di Apple, Qualcomm, AMD e Imagination Technologies.

In altre parole, una "scarsa pulizia" della memoria della GPU tra un compito e l'altro potrebbe consentire a un malintenzionato di leggere senza autorizzazione i dati di altri utenti dalla memoria locale della GPU di un sistema, superando i limiti di utenza o applicazione, con conseguente perdita di privacy dei dati.

Per sfruttare la vulnerabilità i malintenzionati devono avere un certo grado di accesso al sistema operativo del dispositivo da cui vogliono sottrarre i dati. PC e server permettono a più utenti di condividere le stesse risorse di calcolo senza accedere ai dati degli altri, ma la vulnerabilità LeftoverLocals abbatte quei muri.

Secondo i ricercatori, LeftoverLocals mette a nudo l'architettura di sicurezza delle GPU nel complesso, "con particolare importanza per i modelli LLM e ML eseguiti sulle GPU interessate". In un momento in cui il binomio GPU e IA è altamente popolare, la sicurezza dei dati assume un ruolo fondamentale.

I ricercatori di Trail of Bits sono "stati in grado di creare un Proof of Concept (PoC) in cui un malintenzionato può ascoltare la sessione LLM interattiva di un altro utente (ad esempio, llama.cpp) oltre i confini del processo o del container".

Nel PoC mostrato nel tweet (e disponibile su Github) si vede il sistema bersaglio, a sinistra, chiedere all'LLM open source Llama.cpp di fornire dettagli sulla stessa Trail of Bits. In pochi secondi, il dispositivo del malintenzionato, a destra, raccoglie dalla memoria locale della GPU la maggior parte della risposta fornita dal grande modello linguistico sfruttando la vulnerabilità LeftoverLocals. L'attacco messo a punto dai ricercatori richiede meno di 10 righe di codice.

LeftoverLocals può consentire il leak di ~5,5 MB di dati per ogni chiamata alla GPU su una AMD Radeon RX 7900 XT che, quando si esegue un modello 7B su llama.cpp, aggiunge fino a ~ 181 MB per ogni query LLM.

"Queste sono informazioni sufficienti per ricostruire la risposta della LLM con elevata precisione. La vulnerabilità evidenzia che molte parti dello stack di sviluppo ML presentano rischi per la sicurezza sconosciuti e non sono state rigorosamente esaminate da esperti di sicurezza".

La vulnerabilità, tracciata come CVE-2023-4969, è stata identificata a settembre, dando modo ai produttori di GPU di intervenire. A tal proposito, i ricercatori affermano che Apple ha patchato alcuni dispositivi e non altri, come il MacBook Air (M2) che risulta ancora vulnerabile. iPhone 15 non sembra esposto a LeftoverLocals come le versioni precedenti, in quanto A17 e M3 hanno apposite contromisure.

AMD, invece, non è ancora intervenuta. "Abbiamo avuto la conferma da AMD che i loro dispositivi sono ancora interessati, sebbene continuino a indagare su potenziali piani di mitigazione. La loro dichiarazione sulla questione può essere letta qui".

AMD fa sapere che ha intenzione di creare "una nuova modalità che impedisca l'esecuzione dei processi in parallelo sulla GPU e pulisca la memoria locale tra i processi sui prodotti supportati".

Questa modalità sarà progettata per essere impostata da un amministratore e non abilitata di default. "AMD si aspetta di iniziare a distribuire le opzioni di mitigazione a partire da marzo 2024 tramite futuri aggiornamenti dei driver".

Qualcomm ha rilasciato un firmware per alcuni dispositivi, ma non è da escludersi che ve ne siano altri interessati.

Nel caso delle GPU Imagination, nonostante i ricercatori non abbiano osservato direttamente LeftoverLocals sulle GPU testate, Google ha confermato che alcune di queste GPU sono effettivamente vulnerabili. Imagination ha rilasciato una correzione a dicembre.

Le GPU NVIDIA non sono interessate dall'attacco, forse perché la società era già stata vittima di altri attacchi ed è intervenuta sull'integrità dei dati in memoria. Anche le soluzioni ARM non risultano impattate, mentre per quanto riguarda Intel, i ricercatori affermano di aver testato "almeno una loro GPU" senza riuscire a portare a termine l'attacco. Infine, Google ha dichiarato di aver pubblicato dei fix per ChromeOS sui sistemi con le GPU AMD e Qualcomm coinvolte.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
UtenteHD17 Gennaio 2024, 16:02 #1
Eh sempre peggio la sicurezza, strano -e buona che le Nvidia non siano affette
Saturn17 Gennaio 2024, 16:03 #2
Originariamente inviato da: UtenteHD
Eh sempre peggio la sicurezza, strano -e buona che le Nvidia non siano affette


Neanche le Intel da quello che leggo, sempre che non mi sia sfuggito...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^