Uma reclamação de ação coletiva foi movida contra a Intel esta semana por causa do tratamento de bugs de vazamento de dados em suas CPUs.
In um arquivo de 112 páginas com a Divisão de San Jose do Distrito Norte da Califórnia do Tribunal Distrital dos Estados Unidos, cinco demandantes representativos estão alegando que a gigante dos chips sabia sobre instruções defeituosas que permitiram questões como o recente bug “Downfall”, meia década antes de realmente lançar qualquer tipo de correção.
Determinar se a negligência da Intel constitui uma ofensa legal pode ser complicado e pode ter ramificações de amplo alcance para a indústria de tecnologia.
“Nunca ter uma falha é uma exigência irrealista”, diz John Gallagher, vice-presidente do Viakoo Labs na Viakoo, mas “se meus dados forem roubados porque um fornecedor não aplicou um patch em tempo hábil, devo poder processá-los por negligência.”
Como a Intel lidou com seus problemas com chips
Queda foi o nome dado a CVE-2022-40982, uma vulnerabilidade de divulgação de informações com classificação CVSS de classificação média 6.5 nas CPUs de sexta a décima primeira geração da Intel. Como revelou um pesquisador do Google no Black Hat de agosto passado, um invasor poderia tirar vantagem de uma instrução vulnerável que o processadores usam para execução especulativa para obter acesso a informações privilegiadas de outros usuários em um ambiente de computação compartilhado.
Embora exista em incontáveis milhões, até mesmo bilhões, de computadores em todo o mundo (a Intel gosta a maior parte do mercado global de CPU x86), “a nível individual isto não terá impacto na maioria das pessoas; é uma exploração relativamente complexa e se baseia no compartilhamento de um computador ou ambiente de nuvem pelo usuário”, observa Gallagher.
Embora o pesquisador do Google tenha colocado Downfall no centro das atenções pela primeira vez em agosto, o novo processo aponta muito mais longe do que isso.
Em 2018, um entusiasta de hardware publicou descobertas demonstrando vulnerabilidade de execução transitória no estilo Downfall em CPUs Intel. Era semelhante a outros bugs de chip mais infames – Espectro e fusão - e ainda outro caso semelhante – NetSpectre - surgiu na mesma época.
“No entanto, apesar de várias divulgações de vulnerabilidades (publicamente conhecidas) feitas à Intel sobre o assunto, a Intel não analisou cuidadosamente[sic] possíveis efeitos colaterais no AVX ISA e nas soluções de hardware de engenharia para corrigi-los em 2018. Ou em 2019, ou 2020, ou 2021, ou 2022. Em vez disso, a Intel colocou os lucros em primeiro lugar, vendendo CPUs defeituosas durante anos depois de saber claramente que eram defeituosas”, afirma a denúncia.
Em consonância com a revelação do Black Hat este ano, Intel lançou um patch para Downfall. Mas esse patch, aponta a denúncia, reduz a velocidade de processamento a tal ponto que “os demandantes ficam com CPUs defeituosas que são notoriamente vulneráveis a ataques ou devem ser desaceleradas de forma irreconhecível para 'consertá-las'”.
Para isso, a promotoria está buscando “reparação monetária contra a Intel medida como o maior entre (a) danos reais em um valor a ser determinado no julgamento ou (b) danos legais no valor de US$ 10,000 para cada demandante”.
A Intel deve ser responsabilizada legalmente?
O limiar a partir do qual a má remediação da vulnerabilidade se transforma em negligência total ainda não está claramente definido por lei.
“No próximo ano farão 30 anos desde que o 'erro de ponto flutuante' da Intel chegou às manchetes e fez com que a Intel fizesse um recall de seus chips (potencialmente para evitar ser considerada legalmente responsável). Desde então, a responsabilidade legal não é muito mais clara, pois sempre haverá casos esquivos e falhas menores que não chegariam ao nível de responsabilidade legal”, reflete Gallagher.
E quer a Intel estivesse errada ou não, um bug complexo de canal lateral com consequências limitadas para a maioria dos proprietários de computadores não é o caso mais claro para reverter essa tendência. “Se esta fosse uma falha amplamente explorada que pudesse ter sido razoavelmente evitada, poderia dar origem a responsabilidade legal, mas sem isso é apenas mais um exemplo de como mesmo com os mais rigorosos testes e design de produto, falhas acontecerão”, diz ele. .
“Se cada ataque de canal lateral que explora uma falha arquitetônica no nível do chip fosse apresentado como um caso legal”, conclui ele, “os processos estariam lotados”.
Bathaee Dunne LLP, representando a promotoria, recusou-se a comentar esta história. Dark Reading também entrou em contato com a Intel, que ainda não respondeu até esta publicação.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/intel-downfall-lawsuit-10k-plaintiff-ignoring-chip-bug
