Três pesquisadores da Universidade de Toronto publicaram um artigo científico demonstrando que as GPUs também são sensíveis aos ataques de Rowhammer, nos quais a repetição de acesso a células de memória contendo dados perturbam e instabilizam células vizinhas, degradando a precisão das saídas (outputs). Batizado de GPUHammer, o estudo demonstrou a capacidade de induzir essa vulnerabilidade em memórias GDDR6, especificamente na GPU NVIDIA A6000.
Leia também
Variante ZenHammer que ataca chip DRAM afeta CPUs AMD Zen
Ataque corrompe memória ECC de servidores
Este ataque é o primeiro a demonstrar a inversão de bits Rowhammer em memórias de GPU, afetando todos os bancos DRAM testados, mesmo na presença de defesas internas da DRAM como o TRR. O mais preocupante é que esses ataques podem ser iniciados usando código CUDA em nível de usuário, permitindo que um usuário mal-intencionado de GPU altere os dados de outro usuário em ambientes de time sharing.
Como prova de conceito, os pesquisadores demonstraram a capacidade de corromper modelos de Redes Neurais Profundas (DNN) de uma vítima, degradando a precisão do modelo de 80% para meros 0,1% com uma única inversão de bit. Embora a habilitação de Códigos de Correção de Erros (ECC) possa mitigar esse risco, ela introduz uma lentidão de até 10% para cargas de trabalho de inferência de Machine Learning (ML) na GPU A6000.
O Rowhammer é uma vulnerabilidade de hardware onde a ativação rápida de uma linha de memória pode induzir inversões de bits em linhas de memória adjacentes. Desde 2014, essa vulnerabilidade tem sido amplamente estudada em CPUs e memórias baseadas em CPU como DDR3, DDR4 e LPDDR4. No entanto, com a crescente dependência de GPUs discretas na nuvem para cargas de trabalho críticas de IA e ML, tornou-se imperativo avaliar a suscetibilidade das memórias de GPU a esses ataques.
A execução de um ataque Rowhammer em memórias GDDR baseadas em GPU, no entanto, apresenta desafios únicos. As memórias GDDR6 possuem maior latência e taxa de atualização mais rápida que as DDR4 baseadas em CPU, dificultando o “martelamento”. Os mapeamentos de endereço de DRAM em memórias GDDR são desconhecidos, complicando a criação de padrões eficazes. Além disso, as mitigações internas da DRAM em GDDR são opacas e não-documentadas. Apesar dessas barreiras, o GPUHammer conseguiu lançar ataques bem-sucedidos no GDDR6.
