Denuncia sostiene che Intel abbia venduto miliardi di CPU conoscendo la vulnerabilità di Downfall
E la patch che riduce le prestazioni è una medicina troppo amara.
Un gruppo di acquirenti di CPU Intel ha intentato una causa collettiva contro l'azienda, affermando che Intel ha venduto miliardi di CPU nonostante conoscesse la vulnerabilità AVX che avrebbe poi portato a Downfall. Si sostiene inoltre che Intel abbia avuto conoscenza della vulnerabilità AVX dal 2018 e che la patch di Intel abbia rallentato le CPU in modo significativo. I querelanti affermano che Intel sapeva del difetto di Downfall dal 2018 e chiedono risarcimenti all'azienda.
Un gruppo di cinque acquirenti di CPU Intel ha avviato una causa collettiva contro l'iconico produttore di chip per PC, come rivela un documento di tribunale condiviso da The Register. I querelanti sostengono che Intel abbia venduto consapevolmente miliardi di CPU dopo aver già avuto conoscenza della vulnerabilità del canale laterale AVX che avrebbe alla fine portato a Downfall. Si afferma inoltre che Intel aveva conoscenza della vulnerabilità AVX dal 2018 e che la patch di Intel per il suo difetto architetturale ha rallentato le CPU 'al punto da non essere riconoscibili'.
Lo scorso agosto, abbiamo riportato delle manovre legali dietro le quinte mentre una causa collettiva contro Intel stava prendendo forma. In quel momento abbiamo ricordato che i test contemporanei su CPU Intel che spaziavano dalle architetture Skylake a Rocket Lake (processori Core di 6° a 11° generazione) avevano mostrato che le patch rallentavano alcune operazioni fino al 50%. Le app che facevano ampio uso dei carichi di lavoro AVX2 e AVX-512 per completare i compiti erano le più colpite. Tuttavia, se non patchate, gli attori minacciosi avrebbero potuto sfruttare Downfall per estrarre informazioni sensibili come le chiavi di crittografia dai sistemi che utilizzano le CPU Core di 6° a 11° generazione tramite malware o accesso locale.
La principale lamentela nel documento di tribunale, che chiede un processo con giuria presso il tribunale distrettuale degli Stati Uniti a San Jose, non riguarda l'esistenza della vulnerabilità di Downfall o la penalità delle prestazioni della patch, ma è che Intel si sia sostanzialmente limitata a guardare. I querelanti sostengono che Intel sapeva del 'difetto' dietro Downfall dal 2018.
Naturalmente, il 2018 è stato un anno molto importante per le notizie sulla sicurezza informatica. È stato l'anno in cui Spectre e Meltdown erano ovunque sui titoli dei giornali del settore tecnologico. È stata la prima volta che abbiamo visto exploit mirati al processo di esecuzione speculativa utilizzato da molte CPU moderne per velocizzare i calcoli. A causa del modo in cui questo processo è stato implementato, gli attori minacciosi potevano spiare i dati in memoria da altri processi.
Con tutto il trambusto su Spectre e Meltdown, alcuni ricercatori sulla sicurezza hanno iniziato a guardare a vettori di attacco simili. Si ritiene che, nel giugno 2018, Alexander Yee sia stato uno dei primi appassionati di computer e smanettoni a scrivere di una 'nuova variante di exploit Spectre per i processori Intel che coinvolge le istruzioni AVX e AVX512'. Intel ha chiesto a Yee di mantenere qualsiasi rapporto dettagliato sotto copertura fino a agosto 2018. Con un accesso anticipato a questi dati e migliaia di ingegneri nel suo organico, ci si sarebbe aspettati che Intel facesse qualcosa riguardo a questa possibilità di perdita di dati AVX.
In realtà , secondo la citazione della causa collettiva, Yee non è stato l'unico a mettere in guardia Intel sulle vulnerabilità AVX che avrebbero alla fine portato a Downfall. Un argomento chiave dei querelanti è che 'Nell'estate del 2018, mentre Intel stava affrontando le conseguenze di Spectre e Meltdown e promettendo una soluzione hardware nelle future generazioni di CPU, Intel ha ricevuto due segnalazioni separate di vulnerabilità da terze parti che segnalavano un particolare insieme di istruzioni sulle CPU di Intel, chiamate Advanced Vector Extensions (AVX)'. È importante notare che Intel non ha negato di aver visto queste segnalazioni, dice il documento di tribunale 'Intel ha riconosciuto entrambe le segnalazioni contemporaneamente'.
In precedenza abbiamo menzionato il fulcro principale della causa collettiva, con le lamentele su Intel che ha venduto consapevolmente miliardi di CPU dal 2018 con un 'difetto'. In secondo luogo, le due scelte inaccettabili per gli acquirenti di CPU erano lasciare aperta la vulnerabilità o applicare una patch che 'distrugge le prestazioni delle loro CPU'. Ed è principalmente a causa di questi fattori che i querelanti chiedono 'risarcimenti e provvedimenti equi' a Intel.
Il documento di tribunale condiviso da The Register [PDF] fornisce anche alcuni interessanti dettagli su ciascuno dei cinque querelanti. Fondamentalmente, ognuno parla della propria ricerca nell'acquisto o nel fai-da-te di un PC moderno e veloce, di come le prestazioni del sistema siano state alla fine influenzate dalle mitigazioni di Downfall e di come il rapporto prezzo/prestazioni sia stato pesantemente influenzato.