Intel, il maggiore produttore di chip per dispositvi elettronici, e altre società tecnologiche che sviluppano CPU e/o software sono state informate di nuove ricerche sulla sicurezza che descrivono metodi di analisi usati da loro software che, se utilizzati per scopi dannosi da malintenzionati, hanno il potenziale di raccogliere dati sensibili da dispositivi informatici che funzionano come previsto. Intel, principale produttore di CPU chiamato in causa, ha risposto a queste ricerche, spiegando di ritenere che questi exploit "non abbiano il potenziale per corrompere, modificare o eliminare dati".

Sono stati dei ricercatori di Google ad aver scoperto di recente una particolare funzionalità, presente in quasi tutti i processori che alimentano computer e telefoni in tutto il mondo, che potrebbe consentire ai cyberattaccanti l’accesso non autorizzato a dati sensibili: "L’anno scorso, il team di Project Zero di Google ha scoperto seri problemi di sicurezza causati da ‘esecuzione speculativa’, una tecnica utilizzata dalla maggior parte dei processori moderni (CPU) per ottimizzare le prestazioni" si legge nel blog.

Il ricercatore di Project Zero, Jann Horn, ha dimostrato che dei malintenzionati potrebbero sfruttare cio’ che Google ha chiamato "l’esecuzione speculativa" per leggere la memoria di sistema che dovrebbe essere inaccessibile. Ad esempio, una parte non autorizzata potrebbe leggere informazioni sensibili nella memoria del sistema come password, chiavi di crittografia o informazioni sensibili delle applicazioni. I test hanno inoltre dimostrato che un attacco in esecuzione su una macchina virtuale era in grado di accedere alla memoria fisica della macchina host e, tramite questa, ottenere l’accesso in lettura alla memoria di una macchina virtuale diversa sullo stesso host.

La notizia delle vulnerabilità, trovata lo scorso anno e riportata martedì 3 gennaio sul blog di The Register, ha pesato sulle quote di Intel, il più grande produttore di semiconduttori, mentre ha aumentato quelle dei concorrenti tra cui Advanced Micro Devices, stando a quanto riportato da Bloomberg.

Queste vulnerabilità interessano molte CPU, comprese quelle di AMD, ARM e Intel, così come i dispositivi e i sistemi operativi in esecuzione su di essi.

"Non appena abbiamo saputo di questa nuova classe di attacco, i nostri team di sicurezza e sviluppo prodotto si sono mobilitati per difendere i sistemi di Google e i dati dei nostri utenti" ha spiegato Matt Linton, Senior Security Engineer e Pat Parseghian, Technical Program Manager, di Google, aggiungendo che "abbiamo aggiornato i nostri sistemi e i prodotti interessati per proteggerci da questo nuovo tipo di attacco. Abbiamo anche collaborato con produttori di hardware e software in tutto il settore per aiutare a proteggere i loro utenti e il web più ampio. Questi sforzi hanno incluso l’analisi collaborativa e lo sviluppo di nuove protezioni."

Intel ha risposto in via ufficiale pubblicando una nota nel suo sito per tranquillizzare i propri clienti, ritenendo che gli exploit trovati non hanno il potenziale per corrompere, modificare o eliminare dati, sottolineando in particolare che "i rapporti recenti secondo cui questi exploit sono causati da un ‘bug’ o da un ‘difetto’ e sono esclusivi dei prodotti Intel non sono corretti. Sulla base delle analisi fino ad oggi, molti tipi di dispositivi informatici – con molti processori e sistemi operativi di diversi fornitori – sono suscettibili a questi exploit".

Intel si è detta impegnata nella salvaguardia della sicurezza dei propri prodotti e dei clienti e sta lavorando a stretto contatto con molte altre aziende tecnologiche, tra cui AMD, ARM Holdings e diversi fornitori di sistemi operativi per sviluppare un approccio a livello di settore per risolvere il problema in modo rapido e costruttivo.

In particolare, Intel ha detto di avere già iniziato a fornire aggiornamenti software e firmware per mitigare gli exploit.

Secondo Intel, al contrario di quanto riportato da alcuni rapporti, qualsiasi impatto negativo sulle prestazioni che gli aggiornamenti avranno dipenderà dal carico di lavoro della macchina e, per l’utente medio del computer, non dovrebbe essere significativo e verrà mitigato nel tempo.

Come accade spesso quando vengono rivelate delle vulnerabilità importanti, chi le trova – in questo caso Google – prima di rendere pubblico il problema contatta chi dovrà cercare di risolverlo – in questo caso Intel e le altre società tecnologiche – in modo che possano queste lavorare per rilasciare i necessari aggiornamenti prima che gli exploit diventino di dominio pubblico cosi’ da evitare che malinenzionati possano sfruttarle.

Intel si è detta impegnata "nella best practice di settore per la divulgazione responsabile di potenziali problemi di sicurezza", motivo per cui la stessa Intel e altri fornitori avevano pianificato di divulgare questo problema la prossima settimana quando sarebbero stati disponibili ulteriori aggiornamenti software e firmware. Tuttavia, Intel ha deciso di rilasciare la sua dichiarazione ufficiale con qualche giorno di anticipo per tranquillizzare i propri clienti "a causa dei recenti rapporti dei media inaccurati".

Intel ritiene che i suoi prodotti siano i più sicuri al mondo e che, con il supporto dei suoi partner, le attuali soluzioni a questo problema offrono la migliore sicurezza possibile per i propri clienti.

Cosa fare da utenti? Mantenere i propri dispositivi aggiornati.