Daten aus GPU belauscht: KI-Sicherheitslücke bei Apple Silicon, AMD und Qualcomm
Sicherheitsforscher haben ein Problem in den Grafikkernen älterer iPhones und Macs entdeckt, außerdem bei AMD und Qualcomm. Apple patcht – teilweise.
Betroffen sein soll auch der M2.
(Bild: Apple)
Die IT-Security-Firma Trail of Bits hat ein Sicherheitsproblem in Apple-Silicon-SoCs entdeckt, das teilweise noch offenstehen soll und das Auslesen des GPU-Speichers durch Angreifer ermöglicht. Betroffen sind außerdem AMD-GPUs, Qualcomm-SoCs sowie Imagination-GPUs. Bei Apple scheint der Fehler zahlreiche Gerätemodelle zu betreffen, darunter ältere iPhones und das aktuelle MacBook Air mit M2-Chip. Software-Patches sind allerdings möglich, so ist etwa das iPad Air der dritten Generation mit dem alten A12-Chip laut Angaben der Sicherheitsexperten nicht mehr betroffen. Gleiches gilt für M3-Produkte und den A17 Pro aus iPhone 15 Pro und 15 Pro Max, bei denen die Prozessoren selbst einen Fix erhielten.
Unerlaubter Zugriff auf GPU-RAM, KI betroffen
Trail of Bits hat den Fehler "LeftoverLocals" getauft und führt Details dazu in einem Paper aus, das in dieser Woche veröffentlicht wurde. "LeftoverLocals wirkt sich auf die Sicherheit von GPU-Anwendungen insgesamt aus", schreiben die Sicherheitsexperten. Betroffen sind insbesondere KI-Anwendungen wie große Sprachmodelle (Large Language Models, LLM) oder das maschinelle Lernen (ML). Neben Apple-Systemen sollen auch bestimmte AMD-Grafikkarten, Qualcomm-SoCs (Firmware-Patch) und GPUs des Herstellers Imagination (DDK-Fix) betroffen sein.
In der Praxis bedeutet LeftoverLocals, dass ein Angreifer eine interaktive KI-Sitzung, etwa die Verwendung des LLM llama.cpp, belauschen könnte. "Durch die Wiederherstellung des lokalen Speichers – einer optimierten GPU-Speicherregion – konnten wir einen [Proof-of-Concept-Exploit] erstellen, bei dem ein Angreifer die interaktive LLM-Sitzung eines anderen Benutzers über Prozess- oder Containergrenzen hinweg abhören kann." Der Angreifer muss dazu bereits Zugriff auf das betroffene System haben.
LLM-Spionage mit "großer Präzision"
Das Speicherleck ist so groß, dass es möglich ist, eine LLM-Antwort "mit großer Präzision" zu rekonstruieren, so Trail of Bits weiter. So spuckte eine AMD Radeon RX 7900 XT mit llama.cpp 7B für jede Antwort 181 MByte aus. "Diese Sicherheitslücke macht deutlich, dass viele Teile des ML-Development-Stacks unbekannte Sicherheitsrisiken aufweisen und von Sicherheitsexperten nicht gründlich überprüft wurden."
In einer Stellungnahme gegenüber dem Magazin Wired bestätigte Apple den LeftoverLocals-Bug und wies darauf hin, dass das Unternehmen mit seinen neuesten M3- und A17-Prozessoren, die es Ende 2023 vorstellte, Korrekturen ausliefere. Damit bleibt das Problem in Millionen iPhones, iPads und Macs weiterhin vorhanden. Ob hier noch Patches kommen, bleibt unklar. Qualcomm teilte mit, an weiteren Fixes zu arbeiten, AMD verwies auf sein Advisory. Google teilte mit, einen Patch für betroffene ChromeOS-Geräte ausgespielt zu haben.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
