Uma ação coletiva foi movida contra a Intel em razão da vulnerabilidade de execução especulativa chamada Downfall que afeta dispositivos com CPUs da fabricante de chips. O Downfall é um método de ataque de canal lateral que permite que um invasor — ou um malware — obtenha informações confidenciais, como senhas e chaves de criptografia do dispositivo atacado.
A ação coletiva, de 112 páginas, foi movida na semana passada pelo escritório de advocacia americano Bathaee Dunne, que representa os proprietários de processadores vulneráveis. A notícia do processo contra a Intel sobre a vulnerabilidade Downfall surgiu no final de agosto, quando o escritório de advocacia anunciou que estava se preparando para mover uma ação.
Os demandantes dizem que as CPUs Intel que compraram são “defeituosas” porque são deixadas vulneráveis a ataques cibernéticos ou têm desempenho significativamente mais lento devido às correções de falhas disponibilizadas pela gigante dos chips.
A denúncia diz que a Intel sabia da vulnerabilidade de execução especulativa em seus processadores desde 2018, quando pesquisadores de segurança cibernética revelaram a existência de dois métodos de ataque chamados Meltdown e Spectre.
Esses tipos de ataques geralmente permitem que um invasor que tenha acesso ao sistema de destino — e, em alguns casos, remotamente — ignore as proteções de segurança e obtenha informações confidenciais, como senhas e chaves de criptografia, da memória. No entanto, realizar um ataque muitas vezes não é uma tarefa fácil e não há relatos públicos sobre tais falhas sendo exploradas na natureza.
Após a divulgação de Meltdown e Spectre, a Intel foi informada sobre várias outras vulnerabilidades de execução especulativa e a empresa tem tomado medidas para resolvê-las.
No entanto, os clientes estão descontentes com o fato de que as correções para esses problemas introduzem uma degradação significativa do desempenho e acusam a Intel de vender CPUs que sabia que eram falhas ao longo de vários anos.
No caso do ataque Downfall, que um pesquisador do Google divulgou em agosto depois de dar à Intel mais de um ano para agir, foi descrito como altamente prático. Eles criaram uma exploração de prova de conceito (PoC) e mostraram como ela pode ser aproveitada para roubar chaves de criptografia OpenSSL.
“Quando a vulnerabilidade Downfall se tornou pública, a Intel emitiu uma atualização de microcódigo, que supostamente atenuou a vulnerabilidade Downfall. Na realidade, a ‘mitigação’ da Intel prejudicou os próprios sistemas, ou seja, a execução especulativa e a previsão de ramificação, que são centrais para a função de todas as CPUs modernas, resultando em até 50% de degradação de desempenho nas CPUs afetadas”, diz a denúncia.
A reclamação mostra exatamente o quanto o valor de uma CPU Intel afetada diminuiu devido à degradação do desempenho.
Os demandantes “buscam ressarcimento financeiro contra a Intel, apontado como o maior de danos reais, em um valor a ser determinado pela Justiça, ou danos legais no valor de US$ 10 mil para cada demandante”. Com agências de notícias internacionais.
