Uma nova vulnerabilidade chamada ‘LeftoverLocals’ que afeta unidades de processamento gráfico da AMD, Apple, Qualcomm e Creativeness Applied sciences permite a recuperação de dados do espaço de memória native.
Rastreado como CVE-2023-4969, o problema de segurança permite a recuperação de dados de GPUs vulneráveis, especialmente no contexto de grandes modelos de linguagem (LLMs) e processos de aprendizado de máquina (ML).
LeftoverLocals foi descoberto pelos pesquisadores da Path of Bits, Tyler Sorensen e Heidy Khlaaf, que relataram isso em specific aos fornecedores antes de publicar uma visão geral técnica.
Detalhes de LeftoverLocals
A falha de segurança decorre do fato de que algumas estruturas de GPU não isolam completamente a memória e um kernel em execução na máquina pode ler valores na memória native escritos por outro kernel.
Os pesquisadores da Path of Bits, Tyler Sorensen e Heidy Khlaaf, que descobriram e relataram a vulnerabilidade, explicam que um adversário só precisa executar um aplicativo de computação GPU (por exemplo, OpenCL, Vulkan, Metallic) para ler os dados que um usuário deixou na memória native da GPU.
“Usando isso, o invasor pode ler os dados que a vítima deixou na memória native da GPU simplesmente escrevendo um kernel da GPU que despeja a memória native não inicializada” – Trilha de Bits
LeftoverLocals permite que os invasores iniciem um ‘ouvinte’ – um kernel de GPU que lê da memória native não inicializada e pode despejar os dados em um native persistente, como a memória international.
Se a memória native não for limpa, o invasor pode usar o ouvinte para ler valores deixados pelo 'gravador' – um programa que armazena valores na memória native.
A animação abaixo mostra como os programas gravador e ouvinte interagem e como o último pode recuperar dados do primeiro nas GPUs afetadas.
Os dados recuperados podem revelar informações confidenciais sobre os cálculos da vítima, incluindo entradas do modelo, saídas, pesos e cálculos intermediários.
Em um contexto de GPU multilocatário que executa LLMs, LeftoverLocals pode ser usado para ouvir sessões interativas de outros usuários e recuperar da memória native da GPU os dados do processo “gravador” da vítima.
Os pesquisadores da Path of Bits criaram um prova de conceito (PoC) para demonstrar LeftoverLocals e mostrou que um adversário pode recuperar 5,5 MB de dados por invocação de GPU, dependendo da estrutura da GPU.
Em uma AMD Radeon RX 7900 XT alimentando o LLM llama.cpp de código aberto, um invasor pode obter até 181 MB por consulta, o que é suficiente para reconstruir as respostas do LLM com alta precisão.
Impacto e remediação
Pesquisadores da Path of Bits descobriram CVE-2023-4969 em setembro de 2023 e CERT/CC informado para ajudar a coordenar os esforços de divulgação e correção.
Esforços de mitigação estão em andamento, pois alguns fornecedores já corrigiram o problema, enquanto outros ainda estão trabalhando em uma forma de desenvolver e implementar um mecanismo de defesa.
No caso da Apple, o iPhone 15 mais recente não foi afetado e as correções foram disponibilizadas para os processadores A17 e M3, mas o problema persiste em computadores com M2.
A AMD informou que o seguintes modelos de GPU permanecem vulneráveis enquanto seus engenheiros investigam estratégias eficazes de mitigação.
A Qualcomm lançou um patch by way of firmware v2.0.7 que corrige LeftoverLocals em alguns chips, mas outros permanecem vulneráveis.
A Creativeness lançou uma correção no DDK v23.3 em dezembro de 2023. No entanto, o Google alertou em janeiro de 2024 que algumas das GPUs do fornecedor ainda seriam afetadas.
GPUs Intel, NVIDIA e ARM relataram que o problema de vazamento de dados não afeta seus dispositivos.
Path of Bits sugere que os fornecedores de GPU implementem um mecanismo automático de limpeza de memória native entre chamadas de kernel, garantindo o isolamento de dados confidenciais gravados por um processo.
Embora esta abordagem possa introduzir alguma sobrecarga de desempenho, os investigadores sugerem que a compensação é justificada dada a gravidade das implicações de segurança.
Outras possíveis mitigações incluem evitar ambientes de GPU multilocatários em cenários críticos de segurança e implementar mitigações no nível do usuário.