Grafiikkasuorittimen etähyökkäys aiheuttaa riskin, että selaimet antavat verkkosivustoille pääsyn grafiikkakortteihin mahdollisia salauslouhintaa varten

Itävallan Grazin teknillisen yliopiston ja Ranskan Rennesin yliopiston tutkijat ovat paljastaneet haavoittuvuuden, joka liittyy grafiikkasuoritusyksiköihin (GPU), joita voidaan mahdollisesti hyödyntää kryptovaluuttojen louhintaan ja muihin haitallisiin toimiin. Tämä hiljattain löydetty uhka kohdistuu suosittuihin selaimiin ja näytönohjaimiin.

Haavoittuvuus keskittyy WebGPU:n ympärille. Sovellusliittymä, jonka avulla verkkokehittäjät voivat käyttää tietokoneen grafiikkasuorituskykyä tehokkaiden tehtävien suorittamiseksi suoraan verkkoselaimessa. Tämän API:n älykkäällä manipuloinnilla JavaScriptin avulla tutkijat ovat osoittaneet etähyökkäysvektorin, joka toimii kokonaan selaimen sisällä, mikä eliminoi tarpeen saada suoraa pääsyä alkuperäisiin GPU-sovellusliittymiin.

Tämä hyökkäysmenetelmä edustaa yhtä varhaisimmista verkkoselaimesta peräisin olevista GPU-välimuistin sivukanavahyökkäyksestä. Houkuttelemalla käyttäjät käymään hyväksikäyttökoodia isännöivälle haitalliselle verkkosivustolle, hyökkääjät voivat suorittaa hyväksikäytön etänä ilman käyttäjän vuorovaikutusta kuin vain muutaman minuutin sivustolla oleminen.

Tämän haavoittuvuuden vaikutukset ovat merkittäviä. Hyökkäystä voidaan hyödyntää näppäinpainallusten välisiin ajoitushyökkäyksiin, mikä saattaa paljastaa arkaluontoisia tietoja, kuten salasanoja näppäinpainalluksen ajoituksen perusteella. Lisäksi se mahdollistaa GPU-pohjaisten AES-salausavaimien poimimisen ja perustaa salaisia tiedonsuodatuskanavia kohtuullisilla siirtonopeuksilla.

Tutkijat korostavat, että selainvalmistajien on suhtauduttava GPU-käyttöön yhtä varovasti kuin muihin tietoturva-arkaisiin resursseihin. Lukas Giner, yksi tutkijoista, korostaa riskejä, joita aiheutuu selaimista, jotka antavat verkkosivustoille rajoittamattoman pääsyn isäntäjärjestelmän GPU:hun, vetoamalla mahdollisiin salaisiin hyökkäyksiin tai jopa salaisiin kryptovaluutan louhintatoimintoihin käyttäjän tietämättä.

Tutkimus kohdistui useisiin sekä AMD:n että NVIDIA:n työpöytänäytönohjainkortteihin, jotka vaikuttivat WebGPU:ta tukeviin selaimiin, mukaan lukien Chrome, Chromium, Edge ja Firefox Nightly. Huolimatta ilmoituksista Mozillan, AMD:n, NVIDIA:n ja Chromiumin kehittäjille, vain AMD on antanut vastauksen, jonka mukaan he eivät usko, että tutkijat ovat osoittaneet hyväksikäyttöä tuotteitaan vastaan.

Tutkijat ehdottivat lupaponnahdusikkunan käyttöönottoa, joka on samanlainen kuin mikrofonin tai kameran käyttöoikeus, riskin vähentämiseksi. Chromium-tiimi ilmaisi kuitenkin varauksensa vedoten mahdollisuuteen lisätä käyttäjien kitkaa ilman suhteellisia turvallisuusetuja.

Tämä paljastus korostaa kriittistä tarvetta ennakoiviin toimenpiteisiin GPU-käytön turvaamiseksi selaimissa, sillä tämän haavoittuvuuden korjaamatta jättäminen voi altistaa käyttäjät useille haitallisille toimille datavarkauksista salaiseen kryptovaluutan louhintaan.