بهلطف یافته کارشناس ایرانی، پنچ خریدار اینتل این شرکت را دادگاهی میکنند
پنج مالک ناراضی CPU اینتل بهتازگی شکایتی علیه این شرکت تنظیم کردهاند که براساس آن، اینتل آگاهانه پردازنده های تحتتأثیر آسیبپذیری خطرناکی را میفروشد و سالها است که این کار را انجام میدهد.
نقص یادشده داونفال (Downfall) نام دارد و با اینکه بر بهترین CPU های اینتل تأثیر نمیگذارد، در تراشههای نسل ششم تا نسل یازدهم بهچشم میخورد.
آسیبپذیری Downfall که به CPUهای خانوادهی اسکایلیک باز میگردد و هنوزهم در تراشههای راکت لیک وجود دارد، دانیال مقیمی، محقق ارشد امنیت گوگل، آن را برای اولینبار علنی کرد. این نقص فرایند Gather Instruction را در CPUهای اینتل هدف قرار میدهد.
آسیبپذیری داونفال را دانیال مقیمی، پژوهشگر امنیتی ارشد گوگل، پیدا کرد
معمولاً Gather Instruction به CPU اجازه میدهد تا بهسرعت به دادههای مختلف در حافظهی خود دسترسی داشته باشد. هرگونه آسیبپذیری در Gather Instruction به عامل تهدیدِ دسترسی زیادی به کامپیوتر آسیبپذیر میدهد. مهاجمان چه ازطریق بدافزار و چه ازطریق دسترسی مستقیم، بهطور بالقوه میتوانند بسیاری از دادههای حساس را از پردازندههای آسیبپذیر بهسرقت ببرند.
اینتل پچ امنیتی را برای جلوگیری از این باگ منتشر کرد؛ اما تبعات منفی زیادی داشت. دانلود این پچ پردازشهای AVX2 و AVX512 را تا ۵۰ درصد کاهش میدهد. این موضوع باعث شد تا کاربران در شرایطی قرار بگیرند که یا باید خود را دربرابر Downfall آسیبپذیر کنند یا با دریافت این پچ امنیتی دچار افت عملکرد شدید شوند.
شاکیان با این رویکرد اینتل مخالفت کردند و اکنون درخواست دادهاند که هیئتمنصفه در دادگاه منطقهایِ آمریکا در سنخوزه این شرکت را محاکمه کند.
وبسایت رجیستر جزئیات این پرونده را برای نخستینبار گزارش داد. پروندهی مذکور پنج شاکی دارد که خریدار حداقل یکی از تراشههایی هستند که تحتتأثیر Downfall قرار گرفتهاند. براساس این دادخواست، اینتل در تمام سال ۲۰۱۸ از این آسیبپذیری آگاه بوده است؛ یعنی همان زمانیکه تیم آبی با تهدیدهای دیگری مانند Spectre و Meltdown دستوپنجه نرم میکرد.
در آن زمان، محققان گزارشهای آسیبپذیری را دربارهی Dowmfall تهیه و نقصی را در مجموعهدستورالعمل AVX به شیوهای مشابه با Spectre و Meltdown پیدا کردند.
الکساندر یی، یکی از متخصصان حوزهی سختافزار، در سال ۲۰۱۸ مقالهای دربارهی این نقص امنیتی آماده کرد و بهدرخواست اینتل انتشار آن را تا ۷ اوت ۲۰۱۸ (۱۶ مرداد ۱۳۹۷) بهتعویق انداخت.
باتوجهبه این موضوع، شاکیان بر این باورند که اینتل باید در سال ۲۰۱۸ زمانیکه برای اولینبار از این نقص مطلع شد، بهجای فروش تراشهها، به این موضوع رسیدگی میکرد.
در متن شکایت آمده است: «اینتل در بازهی زمانیای که محققان آسیبپذیریهای موجود در دستورالعملهای AVX اینتل را افشا کردند، وعدهی بازطراحی سختافزاری برای کاهش آسیبپذیری را داد؛ ولی عملاً اقدامی انجام نداد. اینتل برای اینکه مطمئن شود که دستورالعملهای AVX بهصورت ایمن عمل خواهند کرد، تراشههای فعلی خود را اصلاح نکرد و در طول سه نسل متوالی، این مشکل را همچنان ادامه داده است.»
این سند دربارهی پنج شاکی آسیبدیده نیز صحبت میکند که یکی از آنها بهطور خاص میگوید: «اگر از نقص توصیفشده در این شکایت اطلاع داشتم، CPU اینتل را هرگز نمیخریدم.»
در این شکایت، آمده است که تابهامروز میلیاردها نمونه از پردازندههای آسیبپذیر اینتل بهصورت معیوب طراحی شدهاند و اینتل فراخوانی برای آنها انجام نداده و اصلاحاتی اعمال نکرده و برنامهای برای رفع آن طراحی نکرده است. شاکیان بهدنبال دریافت خسارت و جریمهی اینتل هستند.
تاکنون، اینتل از اظهارنظر دربارهی این اتهامها خودداری کرده است و حتی بهسختی میتوان گفت که این موضوع به کجا میتواند برسد. باتوجهبه اینکه از عمر این پردازندهها چند نسل گذشته است، درحالحاضر بهندرت میتوان آنها را در فروشگاهها پیدا کرد.
کسانی که هماکنون از این پردازندهها استفاده میکنند، با انتخاب دشواری مواجه هستند. بهروزرسانی کردن یا نکردن؟ خود اینتل بهروزرسانی را توصیه میکند؛ اما اگر اغلب از پردازندهی خود برای کارهای سنگینتر استفاده میکنید، ممکن است افت شدید عملکرد را تجربه کنید.
نظرات