रिमोट जीपीयू अटैक संभावित क्रिप्टो माइनिंग कारनामों के लिए वेबसाइटों को ग्राफिक कार्ड तक पहुंच प्रदान करने वाले ब्राउज़रों के जोखिम का संकेत देता है
ऑस्ट्रिया में ग्राज़ यूनिवर्सिटी ऑफ़ टेक्नोलॉजी और फ्रांस में रेन्नेस विश्वविद्यालय के शोधकर्ताओं ने ग्राफिक्स प्रोसेसिंग यूनिट्स (जीपीयू) के संबंध में एक चिंताजनक भेद्यता का खुलासा किया है, जिसका संभावित रूप से क्रिप्टोकरेंसी खनन और अन्य दुर्भावनापूर्ण गतिविधियों के लिए शोषण किया जा सकता है। यह नया खोजा गया ख़तरा लोकप्रिय ब्राउज़रों और ग्राफ़िक्स कार्डों को लक्षित करता है।
भेद्यता वेबजीपीयू के आसपास केंद्रित है, एक एपीआई जो वेब डेवलपर्स को सीधे वेब ब्राउज़र के भीतर उच्च-प्रदर्शन कार्यों के लिए कंप्यूटर के जीपीयू में टैप करने की अनुमति देती है। जावास्क्रिप्ट का उपयोग करके इस एपीआई के चतुर हेरफेर के माध्यम से, शोधकर्ताओं ने एक रिमोट अटैक वेक्टर का प्रदर्शन किया है जो पूरी तरह से ब्राउज़र के भीतर संचालित होता है, जिससे देशी जीपीयू एपीआई तक सीधी पहुंच की आवश्यकता समाप्त हो जाती है।
यह आक्रमण विधि वेब ब्राउज़र से उत्पन्न होने वाले GPU कैश साइड-चैनल हमले के शुरुआती उदाहरणों में से एक का प्रतिनिधित्व करती है। उपयोगकर्ताओं को शोषण कोड होस्ट करने वाली दुर्भावनापूर्ण वेबसाइट पर जाने के लिए लुभाकर, हमलावर दूर से ही शोषण को अंजाम दे सकते हैं, केवल कुछ मिनटों के लिए साइट पर रहने के अलावा उपयोगकर्ता से कोई संपर्क नहीं होता है।
इस भेद्यता के निहितार्थ महत्वपूर्ण हैं। अंतर-कीस्ट्रोक टाइमिंग हमलों के लिए हमले का लाभ उठाया जा सकता है, संभावित रूप से कीस्ट्रोक टाइमिंग के आधार पर पासवर्ड जैसी संवेदनशील जानकारी का खुलासा किया जा सकता है। इसके अलावा, यह जीपीयू-आधारित एईएस एन्क्रिप्शन कुंजियों के निष्कर्षण को सक्षम बनाता है और मध्यम ट्रांसमिशन दरों के साथ गुप्त डेटा एक्सफ़िल्ट्रेशन चैनल स्थापित करता है।
शोधकर्ता ब्राउज़र विक्रेताओं के लिए GPU एक्सेस को अन्य सुरक्षा-संवेदनशील संसाधनों की तरह ही सावधानी बरतने की आवश्यकता पर जोर देते हैं। शोधकर्ताओं में से एक, लुकास ग्रेनर, उपयोगकर्ता की जागरूकता के बिना गुप्त हमलों या यहां तक कि गुप्त क्रिप्टोक्यूरेंसी खनन कार्यों की संभावना का हवाला देते हुए, होस्ट सिस्टम के जीपीयू तक वेबसाइटों को अप्रतिबंधित पहुंच प्रदान करने वाले ब्राउज़रों द्वारा उत्पन्न जोखिमों पर प्रकाश डालते हैं।
अनुसंधान ने एएमडी और एनवीआईडीआईए दोनों के डेस्कटॉप ग्राफिक्स कार्ड की एक श्रृंखला को लक्षित किया, जिससे क्रोम, क्रोमियम, एज और फ़ायरफ़ॉक्स नाइटली सहित वेबजीपीयू का समर्थन करने वाले ब्राउज़र प्रभावित हुए। मोज़िला, एएमडी, एनवीआईडीआईए और क्रोमियम डेवलपर्स को अधिसूचना के बावजूद, केवल एएमडी ने एक प्रतिक्रिया जारी की है, जिसमें कहा गया है कि उन्हें विश्वास नहीं है कि शोधकर्ताओं ने उनके उत्पादों के खिलाफ कोई शोषण प्रदर्शित किया है।
शोधकर्ताओं ने जोखिम को कम करने के लिए माइक्रोफ़ोन या कैमरा एक्सेस के समान एक अनुमति पॉप-अप लागू करने का सुझाव दिया। हालाँकि, क्रोमियम टीम ने सुरक्षा लाभों के बिना उपयोगकर्ता के मनमुटाव को बढ़ाने की संभावना का हवाला देते हुए आपत्ति व्यक्त की।
यह रहस्योद्घाटन ब्राउज़रों के भीतर GPU पहुंच को सुरक्षित करने के लिए सक्रिय उपायों की महत्वपूर्ण आवश्यकता को रेखांकित करता है, क्योंकि इस भेद्यता को संबोधित करने में विफलता उपयोगकर्ताओं को डेटा चोरी से लेकर गुप्त क्रिप्टोकरेंसी खनन तक कई प्रकार की दुर्भावनापूर्ण गतिविधियों में उजागर कर सकती है।