هجوم وحدة معالجة الرسومات عن بعد يشير إلى خطر قيام المتصفحات بمنح مواقع الويب إمكانية الوصول إلى بطاقات الرسوميات لاستغلال عمليات تعدين العملات المشفرة المحتملة

كشف باحثون من جامعة غراتس للتكنولوجيا في النمسا وجامعة رين في فرنسا عن ثغرة أمنية تتعلق بوحدات معالجة الرسومات (GPUs)، والتي من المحتمل أن يتم استغلالها في تعدين العملات المشفرة والأنشطة الضارة الأخرى. يستهدف هذا التهديد المكتشف حديثًا المتصفحات وبطاقات الرسومات الشائعة.

تتمحور الثغرة الأمنية حول WebGPU، وهي واجهة برمجة التطبيقات (API) التي تسمح لمطوري الويب بالاستفادة من وحدة معالجة الرسومات (GPU) للكمبيوتر للقيام بمهام عالية الأداء مباشرة داخل متصفح الويب. من خلال التلاعب الذكي بواجهة برمجة التطبيقات هذه باستخدام جافا سكريبت، أظهر الباحثون ناقل هجوم عن بعد يعمل بالكامل داخل المتصفح، مما يلغي الحاجة إلى الوصول المباشر إلى واجهات برمجة تطبيقات GPU الأصلية.

تمثل طريقة الهجوم هذه واحدة من أقدم الأمثلة على هجوم القناة الجانبية لذاكرة التخزين المؤقت لوحدة معالجة الرسومات (GPU) التي تنشأ من متصفح الويب. من خلال حث المستخدمين على زيارة موقع ويب ضار يستضيف كود الاستغلال، يمكن للمهاجمين تنفيذ الاستغلال عن بُعد، دون أي تفاعل من المستخدم يتجاوز مجرد البقاء على الموقع لبضع دقائق.

الآثار المترتبة على مشكلة عدم الحصانة هذه كبيرة. يمكن الاستفادة من الهجوم في هجمات توقيت ضغطات المفاتيح، مما قد يكشف عن معلومات حساسة مثل كلمات المرور بناءً على توقيت ضغطات المفاتيح. علاوة على ذلك، فهو يتيح استخراج مفاتيح تشفير AES المستندة إلى وحدة معالجة الرسومات وإنشاء قنوات سرية لاستخلاص البيانات بمعدلات نقل معتدلة.

يؤكد الباحثون على حاجة بائعي المتصفحات إلى التعامل مع الوصول إلى وحدة معالجة الرسومات بنفس الحذر الذي تتعامل به الموارد الأخرى الحساسة للأمان. يسلط لوكاس جينر، أحد الباحثين، الضوء على المخاطر التي تشكلها المتصفحات التي تمنح مواقع الويب وصولاً غير مقيد إلى وحدة معالجة الرسومات الخاصة بالنظام المضيف، مشيرًا إلى احتمال شن هجمات خفية أو حتى عمليات تعدين سرية للعملات المشفرة دون علم المستخدم.

استهدف البحث مجموعة من بطاقات رسومات سطح المكتب من كل من AMD وNVIDIA، مما أثر على المتصفحات التي تدعم WebGPU، بما في ذلك Chrome وChromium وEdge وFirefox Nightly. على الرغم من الإخطارات الموجهة إلى مطوري Mozilla وAMD وNVIDIA وChromium، أصدرت AMD فقط ردًا، قائلة إنها لا تعتقد أن الباحثين قد أظهروا استغلالًا ضد منتجاتهم.

واقترح الباحثون تنفيذ نافذة منبثقة للإذن مشابهة لتلك الخاصة بالوصول إلى الميكروفون أو الكاميرا للتخفيف من المخاطر. ومع ذلك، أعرب فريق Chromium عن تحفظاته، مشيرًا إلى إمكانية إضافة احتكاك مع المستخدم دون فوائد أمنية متناسبة.

يؤكد هذا الكشف على الحاجة الماسة لاتخاذ تدابير استباقية لتأمين الوصول إلى وحدة معالجة الرسومات داخل المتصفحات، حيث أن الفشل في معالجة هذه الثغرة الأمنية قد يعرض المستخدمين لمجموعة من الأنشطة الضارة، بدءًا من سرقة البيانات وحتى التعدين السري للعملات المشفرة.