کمیته رکن چهارم – اپل ضمن تایید این آسیبپذیری گفت که در پردازندههای M3 و A17 که سال ۲۰۲۳ معرفی شدهاند، این مشکل برطرف شده است.
محققان آسیبپذیری جدیدی را در پردازندههای گرافیکی تراشههای اپل، کوالکام و AMD پیدا کردهاند که میتواند به هکرها اجازه دهد که از طریق حافظه GPU دادههای زیادی را سرقت کنند.
محققان شرکت امنیتی Trail of Bits مستقر در نیویورک به یک نگرانی امنیتی مربوط به آسیبپذیری پردازندههای گرافیکی اشاره کردهاند. برای سوءاستفاده از این آسیبپذیری که محققان آن را LeftoverLocals نامیدهاند، هکرها باید قبلاً تا حدودی به سیستمعامل دستگاه هدف خود دسترسی پیدا کرده باشند. همچنین با بهرهبرداری از این آسیبپذیری، هکر میتواند دادههای موجود در حافظه محلی GPUهای آسیبپذیر مانند پرسوجوها و پاسخهای تولیدشده توسط مدلهای هوش مصنوعی را استخراج کند.
در آزمایش این آسیبپذیری (فایل گیف بالا)، محققان حملهای را نشان دادهاند که در آن یک هدف (که در سمت چپ نشان داده میشود) از مدل زبانی بزرگ منبع باز Llama.cpp میخواهد که جزئیاتی درمورد Trail of Bits ارائه کند. در عرض چند ثانیه، دستگاه هکر (که در سمت راست دیده میشود) اکثر پاسخهای ارائهشده توسط مدل زبانی بزرگ را با انجام حمله LeftoverLocals به حافظه GPU جمعآوری میکند.
نکته قابلتوجه دیگر اینکه برنامهای که محققان برای نمایش این آسیبپذیری ایجاد کردهاند با کمتر از ۱۰ خط کد ساخته شده است. محققان تابستان گذشته ۱۱ تراشه از هفت سازنده GPU را آزمایش کردند و به گفته آنها، آسیبپذیری LeftoverLocals در پردازندههای گرافیکی شرکتهای اپل، AMD و کوالکام شناسایی شده است. شواهدی مبنی بر اینکه پردازندههای انویدیا، اینتل یا Arm حاوی آسیبپذیری LeftoverLocals هستند، مشاهده نشده است، اما اپل، کوالکام و AMD به WIRED اعلام کردهاند که تحت تأثیر این مشکل قرار گرفتهاند.
پاسخ اپل نسبت به این آسیبپذیری
سخنگوی اپل ضمن تأیید LeftoverLocals، اشاره کرد که در پردازندههای M3 و A17 که سال ۲۰۲۳ معرفی شدند، این مشکل برطرف شده است. کوالکام نیز اعلام کرده است که درحال ارائه بهروزرسانیهای امنیتی به مشتریان خود برای این آسیبپذیری است و AMD در ماه مارس آسیبپذیری LeftoverLocals را برطرف خواهد کرد؛ بنابراین کارتهای گرافیک معروفی مانند AMD Radeon RX 7900 XT و همچنین دستگاههایی ازجمله آیفون ۱۲ پرو و مک بوکایر M2 اپل در برابر آن آسیبپذیر هستند.
منبع : دیجیاتو