Kaug-GPU rünnak põhjustab ohtu, et brauserid annavad veebisaitidele juurdepääsu graafikakaartidele potentsiaalsete krüptokaevandamise rünnakute jaoks

Austria Grazi tehnikaülikooli ja Prantsusmaa Rennes'i ülikooli teadlased on avastanud graafikatöötlusüksuste (GPU) haavatavuse, mida võidakse potentsiaalselt ära kasutada krüptoraha kaevandamiseks ja muuks pahatahtlikuks tegevuseks. See äsja avastatud oht on suunatud populaarsetele brauseritele ja graafikakaartidele.

Haavatavus keskendub WebGPU-le, API-le, mis võimaldab veebiarendajatel kasutada arvuti GPU-d suure jõudlusega toimingute tegemiseks otse veebibrauseris. Selle API nutika manipuleerimisega JavaScripti abil on teadlased demonstreerinud kaugrünnakuvektorit, mis töötab täielikult brauseris, välistades vajaduse otsese juurdepääsu järele natiivsetele GPU API-dele.

See ründemeetod on üks esimesi veebibrauserist pärineva GPU vahemälu külgkanali rünnaku juhtumeid. Ahvatledes kasutajaid külastama pahatahtlikku veebisaiti, mis majutab ärakasutamiskoodi, saavad ründajad seda ära kasutada kaugjuhtimisega, ilma kasutaja sekkumiseta peale vaid mõne minuti saidil viibimise.

Selle haavatavuse tagajärjed on märkimisväärsed. Rünnakut saab kasutada klahvivajutuste ajastamise rünnakute jaoks, mis võivad paljastada tundlikku teavet, näiteks klahvivajutuste ajastuse alusel paroole. Lisaks võimaldab see eraldada GPU-põhiseid AES-i krüptimisvõtmeid ja loob mõõduka edastuskiirusega varjatud andmete väljafiltreerimise kanaleid.

Uurijad rõhutavad, et brauseritootjad peavad kohtlema GPU-juurdepääsu sama ettevaatlikult kui muid turvatundlikke ressursse. Lukas Giner, üks uurijatest, tõstab esile riske, mida kujutavad endast brauserid, mis annavad veebisaitidele piiramatu juurdepääsu hostsüsteemi GPU-le, viidates vargrünnakute või isegi varjatud krüptovaluuta kaevandamisoperatsioonide võimalusele, ilma kasutaja teadlikkuseta.

Uuring keskendus paljudele nii AMD kui ka NVIDIA lauaarvuti graafikakaartidele, mis mõjutasid WebGPU-d toetavaid brausereid, sealhulgas Chrome, Chromium, Edge ja Firefox Nightly. Vaatamata teatistele Mozilla, AMD, NVIDIA ja Chromiumi arendajatele, on ainult AMD väljastanud vastuse, väites, et nad ei usu, et teadlased on nende toodete vastu ärakasutanud.

Uurijad soovitasid riski vähendamiseks rakendada mikrofonile või kaamerale juurdepääsu lubade hüpikaknaid. Chromiumi meeskond väljendas siiski reservatsioone, viidates võimalusele suurendada kasutajate hõõrdumist ilma proportsionaalsete turvaeelisteta.

See ilmutus rõhutab kriitilist vajadust ennetavate meetmete järele, et tagada brauserites GPU-juurdepääs, kuna selle haavatavuse kõrvaldamine võib kasutajad paljastada mitmetele pahatahtlikele tegevustele, alates andmete vargusest kuni krüptovaluuta varjatud kaevandamiseni.