Nuotolinis GPU ataka sukelia pavojų, kad naršyklės suteiks svetainėms prieigą prie grafinių plokščių potencialiems kriptovaliutų gavybos išnaudojimams

Tyrėjai iš Graco technologijos universiteto Austrijoje ir Reno universiteto Prancūzijoje atskleidė susirūpinimą keliantį pažeidžiamumą, susijusį su grafikos apdorojimo blokais (GPU), kurie gali būti panaudoti kriptovaliutų gavybai ir kitai kenksmingai veiklai. Ši naujai atrasta grėsmė nukreipta į populiarias naršykles ir vaizdo plokštes.

Pažeidžiamumas yra susijęs su WebGPU – API, leidžiančia žiniatinklio kūrėjams prisijungti prie kompiuterio GPU ir atlikti didelio našumo užduotis tiesiogiai žiniatinklio naršyklėje. Sumaniai manipuliuodami šia API naudodami „JavaScript“, tyrėjai pademonstravo nuotolinės atakos vektorių, kuris veikia tik naršyklėje, todėl nebereikia tiesioginės prieigos prie vietinių GPU API.

Šis atakos metodas yra vienas iš ankstyviausių GPU talpyklos šoninio kanalo atakų, kylančių iš žiniatinklio naršyklės, atvejų. Suviliodami vartotojus apsilankyti kenkėjiškoje svetainėje, kurioje yra išnaudojimo kodas, užpuolikai gali vykdyti išnaudojimą nuotoliniu būdu, vartotojui nereikės jokios sąveikos, o tik pasiliekant svetainėje kelias minutes.

Šio pažeidžiamumo pasekmės yra reikšmingos. Ataka gali būti panaudota tarp klavišų paspaudimų laiko atakoms, kurios gali atskleisti slaptą informaciją, pvz., slaptažodžius, pagrįstus klavišų paspaudimų laiku. Be to, tai leidžia išgauti GPU pagrįstus AES šifravimo raktus ir sukuria slaptus duomenų išfiltravimo kanalus su vidutiniu perdavimo greičiu.

Tyrėjai pabrėžia, kad naršyklių pardavėjai turi elgtis su GPU prieiga taip pat atsargiai, kaip ir su kitais saugai jautriais ištekliais. Vienas iš tyrėjų Lukas Gineris pabrėžia riziką, kurią kelia naršyklės, suteikiančios svetainėms neribotą prieigą prie pagrindinės sistemos GPU, nurodydamas slaptų atakų ar net slaptų kriptovaliutų gavybos operacijų galimybę be vartotojo žinios.

Tyrimas buvo skirtas įvairioms AMD ir NVIDIA darbalaukio vaizdo plokštėms, turinčioms įtakos naršyklėms, palaikančioms WebGPU, įskaitant „Chrome“, „Chromium“, „Edge“ ir „Firefox Nightly“. Nepaisant pranešimų „Mozilla“, AMD, NVIDIA ir „Chromium“ kūrėjams, tik AMD pateikė atsakymą, kuriame nurodė, kad netiki, kad mokslininkai įrodė išnaudojimą prieš jų produktus.

Tyrėjai pasiūlė įdiegti iššokantįjį leidimo langą, panašų į mikrofono ar kameros prieigą, kad sumažintų riziką. Tačiau „Chromium“ komanda išreiškė abejonių, nurodydama galimybę padidinti vartotojų trintį be atitinkamos saugumo naudos.

Šis atskleidimas pabrėžia esminį būtinybę imtis aktyvių priemonių, kad būtų apsaugota prieiga prie GPU naršyklėse, nes nepašalinus šio pažeidžiamumo vartotojai gali susidurti su įvairia kenkėjiška veikla – nuo duomenų vagystės iki slapto kriptovaliutų gavybos.