Vulnerabilidade de “queda” da CPU da Intel leva a ação coletiva por parte dos consumidores

A Intel foi acionada por consumidores, alegando que a fabricante de chips estava ciente das vulnerabilidades do Downfall e ainda vendia chips no mercado.

Processo movido por usuários de CPU Intel revela que a equipe Blue estava ciente da existência potencial de queda, mas não fez nada

Antes de entrarmos no processo, vamos recapitular o que é Downfall. Conforme abordado anteriormente , a vulnerabilidade afeta especificamente cargas de trabalho que utilizam as instruções de coleta AVX2/AVX-512. A Intel revelou que “Downfall” teve um impacto maior nas formações Tiger Lake/Ice Lake da geração mais antiga. Em palavras fáceis, a vulnerabilidade revela o conteúdo do registro de hardware, levando potencialmente a roubos de dados em grande escala. Como a vulnerabilidade na indústria é algo bastante comum, não é vista como culpa da empresa e, muitas vezes, a mitigação é aplicada rapidamente.

No entanto, a ação movida por cinco compradores de CPU Intel, conforme relatado pelo The Register , afirma que a Team Blue estava ciente da vulnerabilidade do canal lateral AVX desde 2018. Além disso, a empresa não tendia a consertar o loop na arquitetura até Downfall foi descoberto, o que não apenas colocou em risco a segurança de milhões de usuários, mas as consequências da vulnerabilidade levaram a um declínio de 50% no desempenho. Aqui está como o relatório do The Register resume como a existência do Downfall realmente começou há cinco anos:

A reclamação diz que no verão de 2018, quando a Intel estava lidando com Spectre e Meltdown, o fabricante recebeu dois relatórios de vulnerabilidade separados de pesquisadores terceirizados que alertavam que o conjunto de instruções Advanced Vector Extensions (AVX) do titã do microprocessador – que permite CPU Intel núcleos para executar operações em vários dados simultaneamente, melhorando o desempenho – era vulnerável à mesma classe de ataque de canal lateral que essas outras duas falhas graves.

O argumento apresentado pelos arquivadores revela que a Intel estava bem ciente da “brecha” há muito tempo e que a empresa não fez nenhum esforço para corrigi-la, apesar de saber da sua potencial existência há cinco anos. Além disso, diz-se que a Intel implementou “buffers secretos” relacionados com essas instruções, que visam basicamente suprimir as ameaças da vulnerabilidade por um período temporário. Em vez de resolver o problema, isso na verdade reforçou a sua ocorrência, o que levou a ataques como roubo de dados.

Esses buffers secretos, juntamente com os efeitos colaterais deixados no cache da CPU, abriram o que equivalia a um backdoor nas CPUs da Intel, permitindo que um invasor usasse instruções AVX para obter facilmente informações confidenciais da memória – incluindo chaves de criptografia usadas para Advanced Encryption Standard (‘AES ‘) criptografia – explorando a própria falha de design que a Intel supostamente corrigiu após Spectre e Meltdown.

A Intel ainda não respondeu às alegações, mas estas são algumas acusações sérias contra a empresa, uma vez que mostram que a Team Blue aparentemente “não se incomoda” com potenciais backdoors e brechas em sua arquitetura, o que coloca consumidores e empresas em risco. No entanto, não devemos tirar conclusões ainda, porque como se costuma dizer “culpado até que se prove a inocência”.

Fonte de notícias: The Register