Apple, AMD, Qualcomm: GPUs mehrerer Hersteller anfällig für Datenklau

Sicherheitsforscher haben eine als Leftover Locals bezeichnete Schwachstelle offengelegt, die eine Wiederherstellung von Daten anderer Prozesse aus dem lokalen GPU-Speicher von Grafikprozessoren der Hersteller Apple, Qualcomm, AMD und Imagination ermöglicht. Im Grunde seien alle GPU-Anwendungen von dem Problem betroffen, für große Sprachmodelle und Machine-Learning-Anwendungen sei Leftover Locals jedoch besonders bedeutsam, erklären die Forscher in ihrem Bericht.

Leftover Locals könne auf einer AMD Radeon RX 7900 XT etwa 5,5 MBytes an Daten pro GPU-Aufruf preisgeben. Bei der Ausführung eines 7B-Modells von Metas Llama (llama.cpp) summiere sich diese Datenmenge auf rund 181 MByte für jede LLM-Abfrage. "Dies ist genug Information, um die LLM-Antwort mit hoher Präzision zu rekonstruieren", warnen die Forscher.

Wie ein Angriff in der Praxis aussieht, demonstrieren sie in einem in ihren Bericht eingebetteten kurzen Videoclip. Ein Proof of Concept wurde auf Github veröffentlicht.

Angriff ist wohl einfach ausführbar

Alles, was ein Angreifer für die Ausnutzung der als CVE-2023-4969 registrierten Schwachstelle benötigt, ist die Möglichkeit, auf einem Zielsystem eine eigene GPU-Rechenanwendung auszuführen – beispielsweise über OpenCL, Vulkan oder Metal. Das gelingt sowohl auf einem gemeinsam genutzten Server-System als auch per Schadsoftware auf einem Smartphone. Browser-GPU-Frameworks wie WebGPU seien allerdings aufgrund vorhandener Speicherprüfungen derzeit nicht betroffen, betonen die Forscher.

Der für einen Angriff erforderliche Code könne weniger als 10 Zeilen umfassen und sei auch für Programmieranfänger problemlos implementierbar. Möglichkeiten, eine Ausnutzung von Leftover Locals zu erkennen, gebe es hingegen kaum. "Dieser Angriff hängt davon ab, dass der Angreifer nicht initialisierten Speicher auf der GPU liest. Und obwohl dies technisch gesehen ein undefiniertes Verhalten ist, wird es derzeit weder dynamisch überprüft noch protokolliert", so das Forscherteam.

Patches gibt es bisher nur teilweise

Zu den betroffenen GPUs zählen wohl mehrere Modelle von Apple, AMD, Qualcomm und Imagination. Die Bereitstellung von Patches sieht jedoch bisher durchwachsen aus, obwohl die Hersteller schon im September 2023 über die Schwachstelle informiert wurden. Apple beispielsweise habe bestätigt, Updates für A17- und M3-Chips bereitgestellt zu haben, erklären die Forscher. Tatsächlich sei jedoch auch ein älteres iPad Air mit einem A12 inzwischen nicht mehr anfällig, ein Macbook Air mit M2-SoC hingegen schon.

Auch Qualcomm hat wohl für einige Chips einen Patch bereitgestellt. Möglicherweise seien aber noch weitere Modelle betroffen, warnen die Forscher. AMD hingegen habe bisher lediglich bestätigt, das Problem zu untersuchen. GPUs des Herstellers bleiben also vorerst angreifbar. Ein Treiberupdate, das die Schwachstelle beseitigt, ist erst für März 2024 geplant, wie AMD in einem Security Bulletin erklärt.

Das Forscherteam selbst konnte für Imagination-GPUs zwar keine Anfälligkeit feststellen, dass einige Modelle dieses Herstellers letztendlich aber doch betroffen seien, sei aber später von Google bestätigt worden. Einen Patch für Imagination-GPUs gebe es bereits seit Dezember 2023. Grafikprozessoren von Intel, Arm und Nvidia sind von Leftover Locals nach aktuellem Kenntnisstand nicht betroffen.