Lỗ hổng kênh bên bộ xử lý “Downfall” của Intel gây ra vụ kiện tập thể của người tiêu dùng

Intel bị người tiêu dùng kiện, cho rằng nhà sản xuất chip biết có lỗ hổng Downfall nhưng vẫn bán chip ra thị trường. Người dùng CPU Intel phàn nàn rằng công ty đã biết về sự tồn tại tiềm tàng của lỗ hổng Downfall nhưng không làm gì cả.

Trước khi thảo luận về vụ kiện này, chúng ta hãy xem lại Downfall là gì. Như đã đề cập trước đó, lỗ hổng này đặc biệt ảnh hưởng đến khối lượng công việc sử dụng tập lệnh AVX2/AVX-512. Intel tiết lộ rằng "Downfall" có tác động lớn hơn đến các sản phẩm dòng TigerLake/IceLake thế hệ cũ. Nói một cách đơn giản, lỗ hổng này làm lộ nội dung đăng ký phần cứng, có khả năng dẫn đến hành vi trộm cắp dữ liệu quy mô lớn. Vì các lỗ hổng rất phổ biến trong ngành nên chúng không được coi là lỗi của công ty và thường được giảm thiểu nhanh chóng.

Tuy nhiên, Intel đã biết về lỗ hổng kênh bên AVX kể từ đầu năm 2018, theo đơn kiện của 5 người mua CPU Intel. Ngoài ra, hãng cũng không có xu hướng sửa chữa các lỗ hổng trong kiến ​​trúc cho đến khi phát hiện ra Downfall. Điều này không chỉ gây nguy hiểm cho tính bảo mật của hàng triệu người dùng mà còn gây ra di chứng của lỗ hổng khiến bộ xử lý giảm 50% trong một số tình huống ứng dụng.

Khiếu nại cáo buộc rằng vào mùa hè năm 2018, khi Intel đang phát triển Spectre và Meltdown, nhà sản xuất đã nhận được hai báo cáo lỗ hổng riêng biệt từ các nhà nghiên cứu bên thứ ba cảnh báo rằng tập lệnh Advanced Vector Extensions (AVX) của gã khổng lồ vi xử lý (cho phép lõi CPU Intel hoạt động đồng thời trên nhiều khối dữ liệu, từ đó cải thiện hiệu suất) dễ bị tấn công kênh bên giống như hai lỗ hổng nghiêm trọng khác.

Lập luận của người nộp đơn cho thấy Intel đã sớm nhận thức được "lỗ hổng" và không nỗ lực khắc phục nó mặc dù công ty biết rằng nó có thể tồn tại từ 5 năm trước. Ngoài ra, Intel được cho là đã triển khai một "bộ đệm bí mật" liên quan đến các hướng dẫn này, với mục đích cơ bản là tạm thời ngăn chặn mối đe dọa từ lỗ hổng bảo mật. Thay vì giải quyết vấn đề, điều này lại khiến vấn đề trở nên trầm trọng hơn và dẫn đến các cuộc tấn công như đánh cắp dữ liệu.

Những bộ đệm bí mật này, kết hợp với tác dụng phụ của việc còn lại trong bộ nhớ đệm của CPU, đã mở ra thứ tương tự như một cửa sau trong CPU của Intel, cho phép kẻ tấn công khai thác các lệnh AVX để dễ dàng lấy được thông tin nhạy cảm trong bộ nhớ, bao gồm các khóa mã hóa được sử dụng cho mã hóa Tiêu chuẩn mã hóa nâng cao (AES), đây chính là lỗi thiết kế mà Intel được cho là đã sửa chữa sau sự cố Spectre và Meltdown.

Intel vẫn chưa phản hồi về tuyên bố này, nhưng đây là một cáo buộc nghiêm trọng chống lại công ty vì nó cho thấy Intel rõ ràng "không quan tâm" đến các cửa hậu và lỗ hổng tiềm ẩn trong kiến ​​trúc của mình, khiến cả người tiêu dùng và doanh nghiệp gặp rủi ro. Tuy nhiên, chúng ta vẫn chưa thể đưa ra kết luận, bởi người ta thường nói “không nghi ngờ thì có tội”.