Udaljeni GPU napad dovodi do rizika od preglednika koji web stranicama daju pristup grafičkim karticama za potencijalne eksploatacije kripto rudarenja

Istraživači s Tehnološkog sveučilišta u Grazu u Austriji i Sveučilišta u Rennesu u Francuskoj otkrili su zabrinjavajuću ranjivost u vezi s jedinicama za grafičku obradu (GPU), koje bi se potencijalno mogle iskoristiti za rudarenje kriptovaluta i druge zlonamjerne aktivnosti. Ova novootkrivena prijetnja cilja na popularne preglednike i grafičke kartice.

Ranjivost je usredotočena na WebGPU, API koji web programerima omogućuje pristup GPU-u računala za zadatke visokih performansi izravno unutar web preglednika. Pametnom manipulacijom ovog API-ja koristeći JavaScript, istraživači su demonstrirali vektor udaljenog napada koji u potpunosti radi unutar preglednika, eliminirajući potrebu za izravnim pristupom izvornim GPU API-jima.

Ova metoda napada predstavlja jedan od najranijih slučajeva napada bočnog kanala GPU predmemorije koji potječe iz web preglednika. Navodeći korisnike da posjete zlonamjernu web stranicu koja hostira eksploatacijski kod, napadači mogu izvršiti eksploataciju na daljinu, bez ikakve interakcije korisnika osim što samo ostaju na web mjestu nekoliko minuta.

Implikacije ove ranjivosti su značajne. Napad se može iskoristiti za vremenske napade između pritisaka tipki, potencijalno otkrivajući osjetljive informacije poput lozinki na temelju vremena pritiska tipke. Štoviše, omogućuje ekstrakciju AES ključeva šifriranja temeljenih na GPU-u i uspostavlja tajne kanale za eksfiltraciju podataka s umjerenim brzinama prijenosa.

Istraživači naglašavaju potrebu da dobavljači preglednika pristup GPU-u tretiraju s istim oprezom kao i druge sigurnosno osjetljive resurse. Lukas Giner, jedan od istraživača, naglašava rizike koje predstavljaju preglednici koji web stranicama daju neograničeni pristup GPU-u glavnog sustava, navodeći potencijal za prikrivene napade ili čak tajne operacije rudarenja kriptovalute bez korisnikove svijesti.

Istraživanje je ciljalo niz AMD-ovih i NVIDIA grafičkih kartica za stolna računala, utječući na preglednike koji podržavaju WebGPU, uključujući Chrome, Chromium, Edge i Firefox Nightly. Unatoč obavijestima programerima Mozille, AMD-a, NVIDIA-e i Chromiuma, samo je AMD objavio odgovor, navodeći da ne vjeruju da su istraživači pokazali iskorištavanje njihovih proizvoda.

Istraživači su predložili implementaciju skočnog prozora s dozvolama sličnog onima za pristup mikrofonu ili kameri kako bi se smanjio rizik. Međutim, tim za Chromium izrazio je rezervu, navodeći potencijal za dodatno opterećenje korisnika bez odgovarajućih sigurnosnih prednosti.

Ovo otkriće naglašava kritičnu potrebu za proaktivnim mjerama za osiguranje pristupa GPU-u unutar preglednika, jer bi neuspjeh u rješavanju ove ranjivosti mogao izložiti korisnike nizu zlonamjernih aktivnosti, od krađe podataka do tajnog rudarenja kriptovaluta.