In zeker 3 Amerikaanse staten is chipmaker Intel aangeklaagd voor de deze week ontdekte grote lekken Spectre en Meltdown in kermels van vooral smartphones en laptops.
Hoewel de chipreus op de gadgetbeurs CES beloofde de lekken snel te dichten via updates, verwijten aanklagers in zowel California, Oregon en Indiana de techreus dat er überhaupt dat er beveiligingslekken in de kermel-chips terecht zijn gekomen.
Gedupeerden
De Britse krant The Guardian meldt dat er meer van deze zogenaamde class action-rechtszaken zaken in andere staten op komst zijn. In class-action-zaken klaagt een hele groep gedupeerden met het zelfde probleem tegelijkertijd een fabrikant of overheid aan.
De groepen aanklagers vinden verder dat het bedrijf veel te laat melding maakte van de problemen. Al in juni vorig jaar waarschuwde een groep onderzoekers de chipfabrikant al over de gevonden kwetsbaarheden. Het bedrijf had het dus veel eerder kunnen melden en oplossen.
Verder stellen de aanklagers dat de bedachte oplossing zorgt voor veel tragere chips. Dat kan tot wel dertig procent oplopen en dat vinden de groepen aanklagers veel teveel.
Prestaties
Volgens Intel is die vertraging nog niet zo zeker. Het bedrijf stelde in een eerdere verklaring dat dat de gemiddelde computergebruiker geen of weinig verandering zal merken. Het bedrijf wordt gesteund door bedrijven als Amazon, Google en Apple. Ook zij zeggen dat de prestaties van de chips ook na de software-updates geen tot weinig verslechtering hebben nadat de updates zijn doorgevoerd.
Apple heeft inmiddels al updates uitgebrachtvoor zowel iOS als MacOS. Deze moet het lek genaamd Spectre via Safari dichten.
Tijdens de consumenten-techbeurs CES stelde Intel-CEO Brian Krzanich op een persconferentie dat het bedrijf verwacht dat ze zeker negentig procent van de processoren die in de laatste vijf jaar binnen een week kunnen updaten. Het is dan wel zaak dat gebruikers die updates snel installeren. De resterende tien procent wordt voor eind januari geupdate zijn.
Verder zijn de aanklagers ontevreden over het feit dat de doorgevoerde maatregelen alleen werken voor chips die in de afgelopen vijf jaar zijn aangeschaft. Dit terwijl de lekken gelden voor chips vanaf 1995.
De Intel-CEO stelt echter dat niets wijst in de richting van misbruik van de exploits.
Kermel
Via de lekken Meltdown en Spectre kunnen kwaadwillenden die over malafide software beschikken relatief eenvoudig gegevens buitmaken die de computer op dat moment aan het verwerken is. Dat gaat om alles, variërend van documenten tot wachtwoorden.
Het lek Meltdown treft vooral Intel-chips, die in veel Windows-laptops en computers wordt gebruikt. Ook, maar in mindere mate, treft het ook Mac-computers. Ook clouddiensten blijken kwetsbaat te zijn. In hoeverre chips in smartphones en tablets zijn getroffen is nog niet duidelijk.
De ontwerpfout zit hem vooral in de kermel. Normaal gesproken zijn computergeheugens beschermd tegen toegang door derden. Eenmaal binnen kunnen aanvallers eenvoudig wachtwoorden onderscheppen en zo steeds verder het systeem binnenkomen.
