Intel se sooča s tožbo zaradi 'propada' hrošča, zahteva 10 $ na tožnika

Ta teden je bila proti Intelu vložena skupinska tožba zaradi njegovega ravnanja s hrošči, ki povzročajo uhajanje podatkov v njegovih procesorjih.

In spis na 112 straneh z oddelkom San Jose v severnem okrožju Kalifornije okrožnega sodišča Združenih držav pet reprezentativnih tožnikov trdi, da je velikan čipov vedel za napačna navodila, ki so omogočila težave, kot so nedavna napaka »Downfall«, pol desetletja, preden je dejansko izdal kakršen koli popravek.

Ugotavljanje, ali Intelova malomarnost predstavlja pravni prekršek, pa je lahko zapleteno in ima lahko obsežne posledice za tehnološko industrijo.

»Nikoli ne imeti napake je nerealna zahteva,« pravi John Gallagher, podpredsednik Viakoo Labs pri Viakoo, toda »če so moji podatki ukradeni, ker prodajalec popravka ni uporabil pravočasno, bi jih lahko tožil zaradi malomarnosti."

Kako je Intel rešil svoje težave s čipi

Propad je bilo ime CVE-2022-40982, 6.5 srednje ocenjena ranljivost razkritja informacij z oceno CVSS v procesorjih Intel od šeste do enajste generacije. Kot je razkril Googlov raziskovalec na lanskem avgustovskem Black Hat-u, bi lahko napadalec izkoristil ranljivo navodilo procesorji uporabljajo za špekulativno izvedbo da bi pridobili dostop do privilegiranih informacij drugih uporabnikov v skupnem računalniškem okolju.

Čeprav obstaja v neizmernih milijonih, celo milijardah računalnikov po vsem svetu (Intel uživa večino svetovnega trga procesorjev x86), »na ravni posameznika to ne bo vplivalo na večino ljudi; je razmeroma zapleten izkoriščanje in temelji na uporabniku, ki si deli računalnik ali okolje v oblaku,« ugotavlja Gallagher.

Medtem ko je Googlov raziskovalec Downfall prvič postavil v središče pozornosti avgusta, nova tožba kaže daleč dlje od tega.

V 2018, navdušenec nad strojno opremo objavil ugotovitve prikazuje ranljivost prehodnega izvajanja v slogu Downfall v procesorjih Intel. Bilo je podobno drugim, bolj zloglasnim hroščem čipov - Spectre in Meltdown — in še še en podoben primer — NetSpectre — nastala približno ob istem času.

»Vendar kljub številnim (javno znanim) razkritjem ranljivosti Intelu na to temo Intel ni natančno analiziral [sic] možnih stranskih učinkov v AVX ISA in inženirskih rešitvah strojne opreme, da bi jih popravil leta 2018. Ali leta 2019, oz. 2020, ali 2021, ali 2022. Namesto tega je Intel na prvo mesto postavil dobiček, saj je leta po tem, ko je jasno vedel, da so okvarjeni, prodajal okvarjene procesorje,« navaja pritožba.

V skladu z letošnjim razkritjem Črnega klobuka, Intel je izdal popravek za Downfall. Toda ta popravek, poudarja pritožba, zmanjša hitrost obdelave do te mere, da "tožniki ostanejo z okvarjenimi CPE-ji, ki so bodisi izjemno ranljivi za napade bodisi jih je treba upočasniti do nerazpoznavnosti, da jih 'popravijo'."

Za to tožilstvo zahteva "denarno nadomestilo zoper Intel, ki se meri kot večja od (a) dejanske škode v znesku, ki bo določen na sojenju, ali (b) zakonske odškodnine v višini 10,000 USD za vsakega tožnika."

Ali naj bo Intel pravno odgovoren?

Meja, pri kateri slaba sanacija ranljivosti postane neposredna malomarnost, še ni zakonsko jasno opredeljena.

»Naslednje leto bo minilo 30 let, odkar je Intelova 'napaka s plavajočo vejico' prišla na naslovnice in povzročila, da je Intel odpoklical svoje čipe (morda zato, da bi se izognil pravno odgovornemu). Od takrat pravna odgovornost ni veliko bolj jasna, saj bodo vedno obstajali kotni primeri in manjše pomanjkljivosti, ki ne bodo dosegle ravni pravne odgovornosti,« razmišlja Gallagher.

In ne glede na to, ali se je Intel motil ali ne, zapletena napaka na stranskem kanalu z omejenimi posledicami za večino lastnikov računalnikov ne pomeni najbolj jasnega primera za spremembo tega trenda. "Če bi bila to široko izkoriščana napaka, ki bi jo bilo mogoče razumno preprečiti, bi to lahko povzročilo pravno odgovornost, a brez tega je le še en primer, kako se bodo napake pojavljale tudi pri najstrožjem testiranju in oblikovanju izdelka," pravi. .

"Če bi bil vsak napad na stranskem kanalu, ki izkorišča arhitekturno napako na ravni čipa, vložen kot pravna zadeva," zaključuje, "bi bilo prepolno dokazov."

Bathaee Dunne LLP, ki zastopa tožilstvo, ni želel komentirati te zgodbe. Dark Reading se je obrnil tudi na Intel, ki se do te objave še ni odzval.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/vulnerabilities-threats/intel-downfall-lawsuit-10k-plaintiff-ignoring-chip-bug