Gli utenti malintenzionati hanno avuto la possibilità di accedere facilmente a password o token di accesso dei conti correnti online e a messaggi privati delle vittime, ossia a tutti gli ultimi dati sensibili memorizzati nel processore, ma anche disponibili sul cloud. Questi sono i gravi rischi della falla di sicurezza scoperta in buona parte dei microprocessori Intel prodotti a cominciare dal 2011. Come è successo l’anno scorso, quando è stato individuato un altro bug nei processori Intel, Adm e Arm (gli ultimi due ora non sono coinvolti), a intercettare la falla sono stati i ricercatori dell’università tecnica di Graz, in Austria, esperti di cybersecurity, che hanno etichettato la vulnerabilità “Zombie load” o microarchitectural data sampling (MDS) per indicare i carichi di dati che la Cpu non riesce a “capire” o a elaborare correttamente. Per evitare un errore, il processore chiede l’intervento del microcode: in questa fase alcune informazioni generate dalle applicazioni in esecuzione potrebbero filtrare al di fuori del perimetro predefinito.
La vulnerabilità scoperta ha sfruttato una debolezza nell’esecuzione speculativa, una parte importante del funzionamento dei processori moderni. Daniel Gruss, uno dei ricercatori che ha scoperto la falla, ha detto che i malintenzionati sfruttando la vulnerabilità avrebbero potuto leggere i dati dal processore “proprio come” gli utenti vittime dell’attacco. Infatti, l’attacco “Zombie Load” avrebbe consentito di rubare dati e chiavi sensibili nel momento di accesso da parte dell’utente.
Intel ha poi rivelato che la falla è composta da 4 bug e ha provveduto a rilasciare le patch per risolvere il problema. Anche Apple (solo per i Mac, perché gli altri dispositivi della società non sono interessati dal bag), Google, Amazon e Microsoft hanno rilasciato aggiornamenti per rendere immuni gli attacchi ai loro sistemi operatori a causa della falla nei microprocessori Intel. Mentre Mozilla ha pianificato lo sviluppo di una soluzione a lungo termine.
Sebbene non ci sia stata notizia di nessun attacco sferrato con successo a causa della falla, i ricercatori fanno notare che comunque non avrebbe necessariamente lasciato traccia.
Una considerazione finale. Due giorni fa la scoperta di una grave vulnerabilità di WhatsApp, oggi di nuovo su Intel. Ma secondo i funzionari Usa non sono solo le apparecchiature di telecomunicazioni cinesi a non essere sicure?