Para peneliti di Trail of Bits memiliki mengungkap kelemahan keamanan kritis yang terdapat pada unit pemrosesan grafis (GPU) dari raksasa teknologi Apple, AMD, dan Qualcomm. Kerentanan tersebut, yang diberi label “LeftoverLocals,”berpotensi memungkinkan peretas menyedot sejumlah besar data dari memori GPU yang terpengaruh. Seiring dengan melonjaknya permintaan akan GPU, hal ini didorong oleh karena peran pentingnya dalam mendukung video game dan aplikasi kecerdasan buatan (AI), implikasi dari kesenjangan keamanan tersebut sangatlah signifikan.
Implikasi dari LeftoverLocals
Tidak seperti unit pemrosesan pusat (CPU), yang telah mengalami peningkatan keamanan yang cukup besar untuk mencegah kebocoran memori selama bertahun-tahun, GPU berfokus pada optimalisasi kemampuan pemrosesan grafis, dan sering kali mengabaikan langkah-langkah perlindungan data yang ketat. Munculnya AI dan model bahasa besar telah memperluas cakupannya. kasus penggunaan GPU, sehingga mendorong pakar keamanan untuk mengalihkan perhatian mereka terhadap potensi kebocoran data ini. Diduga, mengeksploitasi kelemahan LeftoverLocals mengharuskan penyerang untuk memiliki akses sistem yang sudah ada sebelumnya, sebuah skenario yang umum terjadi dalam serangan cyber tingkat lanjut yang sering kali melibatkan rangkaian beberapa kerentanan.
Trail of Bits, sebuah perusahaan keamanan yang berbasis di New York, mengungkapkan bahwa serangan tersebut dapat menyebabkan ekstraksi data antara 5 dan 180 megabita yang tidak beralasan dari memori lokal GPU. Data yang terekspos ini dapat berisi informasi sensitif, seperti konten buatan AI atau algoritme kepemilikan.
Menambal Masalah Global
Besarnya perangkat yang terkena dampak menggarisbawahi kompleksitas pengiriman patch untuk memperbaiki kerentanan. Apple mengonfirmasi bahwa prosesor A17 dan M3 terbarunya, yang diluncurkan pada akhir tahun 2023, menutupi perbaikan kelemahan ini. Namun, banyak perangkat yang mendahului chip ini masih tetap berisiko. Qualcomm sedang menyebarkan pembaruan keamanan untuk produknya, sementara AMD berencana untuk menawarkan mitigasi opsional pada bulan Maret.
Kesulitan dalam menyelesaikan masalah ini diperburuk oleh struktur industri teknologi, yang mana produsen perangkat dan pengembang GPU harus berkolaborasi erat untuk memberikan pembaruan keamanan kepada pengguna. Google telah merespons dengan merilis perbaikan untuk perangkat ChromeOS-nya yang dilengkapi dengan GPU AMD dan Qualcomm yang rentan. Meskipun perusahaan telah berupaya untuk mengatasi dan menghilangkan kerentanan ini, tantangan untuk mengamankan memori GPU tetap menjadi perhatian yang mendesak, terutama karena chip ini menjadi lebih terintegrasi dengan CPU dalam konfigurasi sistem-on-a-chip (SoC).
Trail of Bits menyoroti pentingnya industri untuk mengadopsi model keamanan GPU yang ketat, terutama karena semakin banyak aplikasi AI yang bermigrasi ke lingkungan cloud, yang berpotensi meningkatkan paparan terhadap serangan. Kesenjangan keamanan LeftoverLocals menyoroti pentingnya perhatian terhadap keamanan GPU, sejalan dengan upaya sebelumnya untuk memperkuat privasi memori CPU.
