LeftoverLocals: GPUs von Apple, AMD und Qualcomm anfällig für Datenklau
Mit LeftoverLocals haben Sicherheitsforscher eine neu entdeckte Schwachstelle offengelegt, die mehrere Grafikprozessoren von Apple, Qualcomm, AMD und Imagination Technologies betrifft. Angreifer können darüber Daten fremder Prozesse aus dem GPU-Speicher auslesen. Und das soll nicht mal sonderlich kompliziert sein.
Gefährdet sind zum Beispiel Unterhaltungen mit KI-Chatbots
Als Entdecker von LeftoverLocals gilt Tyler Sorensen, Assistenzprofessor an der University of California in Santa Cruz (UCSC). Zusammen mit seiner Kollegin Heidy Khlaaf weist Sorensen in einem via Trail of Bits geteilten Blogbeitrag auf die als CVE-2023-4969 registrierte Sicherheitslücke hin, die es Angreifern ermöglicht, unbefugt Daten anderer Nutzer aus dem lokalen GPU-Speicher eines Systems auszulesen. Betroffen seien prinzipiell alle Anwendungen, die von einer anfälligen GPU Gebrauch machten. Die Auswirkungen auf die Verwendung großer Sprachmodelle und Machine-Learning-Anwendungen heben die Forscher in ihrem Bericht aber ganz besonders hervor.
Auf einer Grafikkarte des Typs AMD Radeon RX 7900 XT sei es etwa möglich, pro GPU-Aufruf rund 5,5 MB an Daten zu exfiltrieren, was sich bei der Ausführung eines 7B-Modells von Metas LLaMA pro LLM-Abfrage auf etwa 181 MB aufsummiere. „Das sind genug Informationen, um die LLM-Antwort mit hoher Präzision zu rekonstruieren“, so die Forscher. In einem 13-sekündigen Video am Anfang des Berichts wird demonstriert, wie ein solcher Angriff in der Praxis aussieht.
Angriff angeblich auch für Programmieranfänger umsetzbar
Sonderlich kompliziert ist die Ausnutzung von LeftoverLocals offenkundig nicht. Die Forscher behaupten, der dafür erforderliche Code umfasse weniger als 10 Codezeilen und stelle selbst für Programmieranfänger keine große Herausforderung dar. Erforderlich sei lediglich ein Zugriff auf das Zielsystem mitsamt der Berechtigung, eine eigene Anwendung auszuführen, die für Berechnungen auf der GPU Grafik-APIs wie OpenCL, Vulkan oder Metal verwende.
Möglich ist dies beispielsweise auf einem Server-System, an dem sich verschiedene Nutzer anmelden und auf eine gemeinsam genutzte GPU zugreifen. Aber auch auf Smartphones lassen sich unter Einsatz einer Schadsoftware Nutzerdaten aus dem GPU-Speicher auslesen. Die Forscher betonen jedoch, dass Browser-GPU-Frameworks wie WebGPU von dem Problem aktuell nicht betroffen sind. Dort seien dynamische Speicherprüfungen implementiert, die eine Ausnutzung verhinderten.
Eine aktive Ausnutzung von CVE-2023-4969 zu erkennen, sei indes schwierig. „Dieser Angriff hängt davon ab, dass der Angreifer nicht initialisierten GPU-Speicher ausliest“, erklären die Forscher. Obwohl dies technisch gesehen ein undefiniertes Verhalten sei, werde dieser Vorgang derzeit weder dynamisch überprüft noch protokolliert.
Patches bisher nur teilweise verfügbar
Einige betroffene GPU-Hersteller haben wohl schon Patches bereitgestellt, um der Ausnutzung von LeftoverLocals vorzubeugen. Insgesamt sieht die Situation diesbezüglich aber noch recht dürftig aus – und das, obwohl den Herstellern die Schwachstelle schon seit September 2023 bekannt ist.
Apple habe erst vor wenigen Tagen erklärt, die hauseigenen Prozessoren A17 und M3 seien bereits geschützt. Die Forscher stellten jedoch fest, dass sich die Sicherheitslücke auch auf einem A12-basierten iPad Air mittlerweile nicht mehr ausnutzen lässt. Ein M2-basiertes MacBook Air scheine jedoch immer noch anfällig zu sein. Spezifische Informationen für den Patch-Status weiterer Geräte habe Apple bisher nicht geteilt.
Von Qualcomm gebe es inzwischen ebenfalls einen Patch – „für einige Geräte“. Die Forscher warnen jedoch, es seien womöglich noch weitere Geräte betroffen. Seitens AMD gebe es bisher lediglich eine Bestätigung dafür, dass der Hersteller mögliche Abhilfemaßnahmen ausarbeite. In einem Security Bulletin erklärt das Unternehmen, ein Treiberupdate zur Beseitigung der Schwachstelle sei erst für März 2024 geplant. Den Schweregrad stuft AMD als „mittel“ ein.
Auch GPUs von Imagination Technologies sind wohl betroffen, wenngleich die Forscher das im Rahmen ihrer eigenen Tests nicht feststellen konnten. Google habe jedoch dem Team gegenüber bestätigt, dass Imagination-GPUs ebenfalls anfällig seien. Ein Patch für Grafikprozessoren dieses Herstellers stehe aber schon seit Dezember 2023 bereit.
GPUs von Nvidia, Arm und Intel sind von der Schwachstelle nach derzeitigem Kenntnisstand wohl nicht betroffen. Ein Proof of Concept für die Ausnutzung von LeftoverLocals haben die Forscher via GitHub bereitgestellt.