ការវាយប្រហារ GPU ពីចម្ងាយជំរុញឱ្យមានហានិភ័យនៃកម្មវិធីរុករកដែលផ្តល់ឱ្យគេហទំព័រចូលប្រើកាតក្រាហ្វិកសម្រាប់ការកេងប្រវ័ញ្ចរ៉ែគ្រីបតូដែលអាចមានសក្តានុពល
ក្រុមអ្នកស្រាវជ្រាវមកពីសាកលវិទ្យាល័យ Graz University of Technology នៅប្រទេសអូទ្រីស និងសាកលវិទ្យាល័យ Rennes ក្នុងប្រទេសបារាំងបានបង្ហាញពីភាពងាយរងគ្រោះទាក់ទងនឹងអង្គភាពដំណើរការក្រាហ្វិក (GPUs) ដែលអាចត្រូវបាន កេងប្រវ័ញ្ចសម្រាប់ការជីកយករ៉ែ cryptocurrency និងសកម្មភាពព្យាបាទផ្សេងទៀត។ ការគំរាមកំហែងដែលបានរកឃើញថ្មីនេះ ផ្តោតលើកម្មវិធីរុករក និងកាតក្រាហ្វិកដ៏ពេញនិយម។
ភាពងាយរងគ្រោះស្ថិតនៅជុំវិញ WebGPU ដែលជា API ដែលអនុញ្ញាតឱ្យអ្នកអភិវឌ្ឍន៍គេហទំព័រចូលទៅកាន់ GPU របស់កុំព្យូទ័រសម្រាប់កិច្ចការដែលមានប្រសិទ្ធភាពខ្ពស់ដោយផ្ទាល់នៅក្នុងកម្មវិធីរុករកតាមអ៊ីនធឺណិត។ តាមរយៈការរៀបចំដ៏ឆ្លាតវៃនៃ API នេះដោយប្រើ JavaScript អ្នកស្រាវជ្រាវបានបង្ហាញវ៉ិចទ័រវាយប្រហារពីចម្ងាយដែលដំណើរការទាំងស្រុងនៅក្នុងកម្មវិធីរុករក ដោយលុបបំបាត់តម្រូវការសម្រាប់ការចូលប្រើដោយផ្ទាល់ទៅ GPU APIs ដើម។
វិធីសាស្ត្រវាយប្រហារនេះតំណាងឱ្យករណីដំបូងបំផុតមួយនៃការវាយប្រហារផ្នែកខាងឆានែលឃ្លាំងសម្ងាត់ GPU ដែលមានប្រភពចេញពីកម្មវិធីរុករកតាមអ៊ីនធឺណិត។ ដោយការទាក់ទាញអ្នកប្រើប្រាស់ឱ្យចូលទៅកាន់គេហទំព័រព្យាបាទដែលបង្ហោះកូដកេងប្រវ័ញ្ច អ្នកវាយប្រហារអាចប្រតិបត្តិការកេងប្រវ័ញ្ចពីចម្ងាយ ដោយមិនមានអន្តរកម្មអ្នកប្រើប្រាស់លើសពីការស្នាក់នៅលើគេហទំព័ររយៈពេលពីរបីនាទី។
ផលប៉ះពាល់នៃភាពងាយរងគ្រោះនេះគឺសំខាន់។ ការវាយប្រហារអាចត្រូវបានប្រើប្រាស់សម្រាប់ការវាយប្រហារតាមពេលវេលានៃការវាយកូនសោរ ដែលអាចបង្ហាញព័ត៌មានរសើបដូចជាពាក្យសម្ងាត់ ដោយផ្អែកលើការកំណត់ពេលវេលានៃការចុចគ្រាប់ចុច។ លើសពីនេះទៅទៀត វាអនុញ្ញាតឱ្យទាញយកសោអ៊ិនគ្រីប AES ដែលមានមូលដ្ឋានលើ GPU និងបង្កើតបណ្តាញចម្លងទិន្នន័យសម្ងាត់ជាមួយនឹងអត្រាបញ្ជូនមធ្យម។
អ្នកស្រាវជ្រាវសង្កត់ធ្ងន់លើតម្រូវការសម្រាប់អ្នកលក់កម្មវិធីរុករកតាមអ៊ីនធឺណិតដើម្បីព្យាបាលការចូលប្រើ GPU ដោយមានការប្រុងប្រយ័ត្នដូចគ្នានឹងធនធានដែលងាយនឹងសុវត្ថិភាពផ្សេងទៀត។ Lukas Giner ដែលជាអ្នកស្រាវជ្រាវម្នាក់បានគូសបញ្ជាក់ពីហានិភ័យដែលបង្កឡើងដោយកម្មវិធីរុករកដែលផ្តល់គេហទំព័រដោយមិនមានការរឹតត្បិតការចូលប្រើ GPU របស់ប្រព័ន្ធម៉ាស៊ីន ដោយលើកឡើងពីសក្តានុពលសម្រាប់ការវាយប្រហារដោយលួចលាក់ ឬសូម្បីតែ ប្រតិបត្តិការរុករករ៉ែរូបិយប័ណ្ណសម្ងាត់ ដោយមិនមានការយល់ដឹងពីអ្នកប្រើប្រាស់។
ការស្រាវជ្រាវបានកំណត់គោលដៅជាច្រើននៃកាតក្រាហ្វិកលើតុពី AMD និង NVIDIA ដែលប៉ះពាល់ដល់កម្មវិធីរុករកដែលគាំទ្រ WebGPU រួមទាំង Chrome, Chromium, Edge និង Firefox Nightly ។ ទោះបីជាមានការជូនដំណឹងទៅកាន់អ្នកអភិវឌ្ឍន៍ Mozilla, AMD, NVIDIA និង Chromium ក៏ដោយ មានតែ AMD ប៉ុណ្ណោះដែលបានចេញការឆ្លើយតបដោយបញ្ជាក់ថាពួកគេមិនជឿថាអ្នកស្រាវជ្រាវបានបង្ហាញពីការកេងប្រវ័ញ្ចប្រឆាំងនឹងផលិតផលរបស់ពួកគេ។
អ្នកស្រាវជ្រាវបានស្នើឱ្យអនុវត្តការអនុញ្ញាតលេចឡើងដែលស្រដៀងទៅនឹងការចូលប្រើមីក្រូហ្វូន ឬកាមេរ៉ា ដើម្បីកាត់បន្ថយហានិភ័យ។ ទោះជាយ៉ាងណាក៏ដោយ ក្រុមការងារ Chromium បានសម្តែងការកក់ទុក ដោយលើកឡើងពីសក្តានុពលនៃការបន្ថែមការកកិតរបស់អ្នកប្រើប្រាស់ ដោយគ្មានអត្ថប្រយោជន៍សុវត្ថិភាពសមស្រប។
វិវរណៈនេះគូសបញ្ជាក់ពីតម្រូវការសំខាន់សម្រាប់វិធានការសកម្មក្នុងការធានាការចូលប្រើ GPU នៅក្នុងកម្មវិធីរុករក ដោយសារការបរាជ័យក្នុងការដោះស្រាយភាពងាយរងគ្រោះនេះអាចបង្ហាញឱ្យអ្នកប្រើប្រាស់នូវសកម្មភាពព្យាបាទជាច្រើន ចាប់ពីការលួចទិន្នន័យរហូតដល់ការលួចលាក់ cryptocurrency ។