Tredici falle scoperte nei processori di ultima generazione prodotti da Amd potrebbero consentire a un attaccante di infettare i dispositivi che ne sono in possesso con dei malware quasi impossibili da rilevare.
Secondo un report di venti pagine, pubblicato dalla società Israeliana Cts, sfruttando i bug riscontrati, sarebbe possibile aggirare le misure di sicurezza dei processori EPYC, Ryzen, Ryzen Pro, e Ryzen, per sottrarre le credenziali che un computer esposto utilizza per accedere alle reti, e per distruggere l’hardware, nel caso per esempio di un attacco di tipo ransomware.
Ciascuna di queste falle richiede comunque l’accesso fisico al dispositivo, che come molti esperti hanno obiettato, rende i bug riscontrati meno pericolosi di quanto dichiarato dalla società di cyber security che li ha scoperti.
Amd ha dichiarato: “Stiamo investigando il report, che abbiamo appena ricevuto, per capire la metodologia e il merito delle scoperte fatte”.
Qualche (lecito) dubbio
Le modalità di esposizione delle falle da parte di Cts tuttavia solleva alcuni dubbi sulle reali motivazioni della società. Ammesso che le vulnerabilità individuate siano tutte effettivamente verificate, Cts ha avvisato Amd solo ventiquattr'ore prima di rendere pubbliche le informazioni in loro possesso, anziché i 90 giorni che per consuetudine vengono lasciati a un produttore di hardware o software per aggiornare i propri sistemi e meglio tutelare i propri clienti (il sito risulta registrato il 22 febbraio scorso, quindi avrebbero avuto tutto il tempo di avvisare prima Amd).
Questa procedura rientra nelle pratiche di “responsible disclosure” divulgazione responsabile), necessarie affinché gli utilizzatori finali non vengano esposti a rischi inutili. Allo scadere del tempo la società con base a Tel Aviv ha pubblicato online un sito Internet dal quale è possibile scaricare il report e vedere dei video nei quali si spiegano i bug dei prodotti Amd. Le modalità di “disclosure” adottate da Cts sollevano ulteriori dubbi, in quanto i video realizzati non sono tecnici ma sembrano indirizzati più a un grande pubblico, e i bug riportati sono chiamati con nomi altisonanti (Chimera, Fallout, Masterkey, Ryzenfall), e non - come di consueto - con dei codici identificativi.
Condividi