Uma ação coletiva foi movida contra a Intel por causa do tratamento de vulnerabilidades de execução especulativa encontradas em suas CPUs, particularmente o método de ataque recentemente divulgado denominado Downfall.
Uma reclamação de ação coletiva de 112 páginas foi apresentada esta semana pelos demandantes representados por Bathaee Dunne. A notícia de um processo liderado por Bathaee Dunne contra a Intel sobre a vulnerabilidade Downfall surgiu no final de agosto, quando o escritório de advocacia anunciou que estava preparando-se para registrar uma reclamação.
Os demandantes dizem que as CPUs Intel que compraram estão “defeituosas” porque ficam vulneráveis a ataques cibernéticos ou têm desempenho significativamente mais lento devido às correções de vulnerabilidade disponibilizadas pela gigante dos chips.
A denúncia diz que a Intel sabe das vulnerabilidades de execução especulativa em seus processadores desde 2018, quando pesquisadores de segurança cibernética revelaram a existência de dois métodos de ataque chamados Meltdown e Spectre.
Esses tipos de ataques normalmente permitem que um invasor que tenha acesso ao sistema visado — e em alguns casos remotamente — contorne as proteções de segurança e obtenha informações confidenciais, como senhas e chaves de criptografia, da memória. No entanto, conduzir um ataque muitas vezes não é uma tarefa fácil e não há relatórios públicos sobre tais falhas sendo exploradas em estado selvagem.
Após a divulgação do Meltdown e do Spectre, a Intel foi informada sobre várias outras vulnerabilidades de execução especulativa e a empresa tem tomado medidas para resolvê-las.
No entanto, os clientes estão descontentes com o facto de as soluções para estes problemas introduzirem uma degradação significativa do desempenho e acusam a Intel de vender CPUs que sabia terem falhas ao longo de vários anos.
No caso do ataque Downfall, que um pesquisador do Google divulgou em agosto, depois de dar à Intel mais de um ano para agir, foi descrito como altamente prático, com uma exploração PoC mostrando como pode ser aproveitada para roubar chaves de criptografia OpenSSL.
“Quando a vulnerabilidade Downfall se tornou pública, a Intel lançou uma atualização de microcódigo, que supostamente mitigou a vulnerabilidade Downfall. Na realidade, a ‘mitigação’ da Intel prejudicou os próprios sistemas, nomeadamente a execução especulativa e a previsão de ramificação, que são centrais para o funcionamento de cada CPU moderna, resultando numa degradação de desempenho de até 50% nas CPUs afetadas”, lê-se na reclamação.
A reclamação mostra exatamente quanto o valor de uma CPU Intel impactada diminuiu devido à degradação do desempenho.
Os demandantes “buscam alívio monetário contra a Intel medido como o maior entre (a) danos reais em um valor a ser determinado no julgamento ou (b) danos legais no valor de US$ 10.000 para cada demandante”.
Semana de Segurança entrou em contato com a Intel para comentar e atualizará este artigo se a empresa responder.
