نقص امنیتی LeftoverLocals اپل را به دردسر انداخت!

یک نقص جدید در واحد پردازش گرافیکی (GPU) برخی از گوشی‌های آیفون و لپ‌تاپ‌های مک‌بوک به‌تازگی توسط گروه “Trail of Bits” کشف و بر روی وب‌سایت این گروه منتشر شده است. به گفته متخصصان حوزه امنیت، میلیون‌ها آیفون و مک‌بوک مجهز به چیپست‌های کمپانی‌های “کوالکام، ای‌ام‌دی (AMD) و ایمجینیشن (Imagination)” در برابر این نقص امنیتی، آسیب‌پذیرند. لازم به ذکر است، دستگاه‌های مجهز به واحدهای پردازش گرافیکی متعلق به کمپانی‌های “Arm، انویدیا (Nvidia) و اینتل” تحت تاثیر این آسیب‌پذیری قرار نگرفته‌اند.

به طور کلی با پیچیده‌تر شدن واحد پردازش گرافیکی و افزایش حجم وظایف محول‌شده به آن‌ها، داده‌های بیشتری تحت اختیار GPU قرار می‌گیرند. به عنوان مثال در برخی از “قابلیت‌های مبتنی بر هوش مصنوعی”، دستگاه به جای ذخیره‌سازی داده‌های مربوط به هوش مصنوعی بر روی تراشه، آن‌ها را بر روی حافظه واحد پردازش گرافیک خود ذخیره می‌کند.

نقص امنیتی فعلی که از آن با نام “LeftoverLocals” یاد می‌شود، از این مسئله سوء استفاده کرده و حافظه‌های واحدهای پردازش گرافیکی دستگاه‌های مختلف را مورد هدف خود قرار می‌دهد. این آسیب‌پذیری به هکرها اجازه می‌دهد به اطلاعات شخصی کاربران که به راحتی در حافظه محلی واحد پردازش گرافیکی در دسترس آن‌ها قرار دارند، دست‌برد بزنند و این اطلاعات حائز اهمیت را استخراج نمایند.

در این آسیب‌پذیری هکرها قادرند با استفاده از کمتر از 10 خط کد، به حافظه محلی غیر اولیه دستگاه با ظرفیتی در حدود 5 مگابایت الی 180 مگابایت دسترسی پیدا کنند. این روش به مهاجمان اجازه می‌دهد داده‌های قربانی مانند “داده‌های مورد استفاده توسط مدل‌های زبان بزرگ (LLM) که عمدتاً توسط سرویس‌های مبتنی بر هوش مصنوعی مولد نظیر چت‌جی‌پی‌تی (ChatGPT) استفاده می‌شوند” که در دستگاه کاربر باقی مانده‌اند، را به راحتی سرقت کنند. در ویدیو زیر، روند استخراج و سرقت اطلاعات از طریق نقص امنیتی LeftoverLocals را مشاهده می‌کنید:

کمپانی اپل به این نقص امنیتی اذعان کرده و پیش‌تر نیز وصله‌های امنیتی جدیدی را برای دستگاه‌های مجهز به تراشه M3 و A17 Bionic منتشر کرده است. با این حال دستگاه‌های قدیمی‌تری مانند “آیفون 12 پرو، تمامی سری‌های آی‌پد و مک‌بوک M2 ایر (M2 MacBook Air) همچنان در برابر این نقص امنیتی، آسیب‌پذیر هستند.

سایر کمپانی‌های توسعه‌دهنده GPU نیز نقص‌های واحدهای پردازش گرافیکی خود را تایید کرده‌اند و ارائه یک به‌روزرسانی مختص به نقص امنیتی LeftoverLocals را وعده داده‌اند. بنابراین، سعی کنید بلافاصله پس از در دسترس قرار داده شدن این به‌روزرسانی‌های امنیتی، دستگاه خود را به‌روزرسانی نمایید.

منبع: Gsmarena