Door de vliegende opkomst van kunstmatige intelligentie is er steeds mee vraag naar grafische processoren, ooit ontwikkeld voor computerspellen. Nu blijken grafische processoren als die van Apple, AMD en Qualcomm (maar niet alleen die) een kwetsbaarheid te hebben waardoor bijdehante derden gegevens zou kunnen stelen. De problemen zouden niet makkelijk te repareren zijn op bestaande apparaten.
Fabrikanten zouden jaren bezig geweest zijn met de beveiliging van de ‘gewone’, centrale processoren, zodat die geen gegevens lekken naar het geheugen. Grafische processoren zijn niet ontworpen met die mate van beveiliging. Medewerkers van het beveiligingsbedrijf Trail of Bits uit New York denken dan ook dat grafische processoren met hun kwetsbaarheden en het groeiende verbruik van ki een groot veiligheidsprobleem kunnen worden.
“Er is een probleem met grafische processoren die niet zo beveiligd zijn als zou moeten”, zegt Heidy Khlaaf van Trail of Bits. “Er wordt een belangrijk deel van de gegevens gelekt. Dan hebben het over 5 MB van de 180. Bij de centrale (‘gewone’; as) processoren is elke bit te veel.”
Om die kwetsbaarheid, ‘overblijsels’ (LeftoverLocals) gedoopt, te gebruiken moeten de datadieven enige mate van toegang tot het besturingssysteem van het doelwit hebben. Veel computers zijn zo ingesteld dat ze door verschillende mensen gebruikt kunnen worden, zonder dat ze bij elkaar kunnen spieken.
De overblijfselaanval breekt die ‘muren’ tussen de gegevens van de verschillende gebruikers af. Op die manier zou de datadief de gelekte gegevens van de grafische processor kunnen stelen. De medewerkers hebben gedemonstreerd dat dat te doen is met een progje van maar tien coderegels.
Elf getest
De onderzoekers hebben elf grafische processoren van zeven fabrikanten getest. Ze vonden de kwetsbaarheid in gp’s van Apple, AMD en Qualcomm, maar ook van het Open Source Project van Android, van Red Hat en van Imagination Technologies. Gp’s van onder meer NVIDIA, Microsoft, Adobe, Intel en ARM hadden die kwetsbaarheid niet. Van vele andere is dan nog niet onderzocht.
Bron: Wired