Serangan GPU Jauh Mendorong Risiko Penyemak Imbas Memberi Akses Laman Web kepada Kad Grafik untuk Potensi Eksploitasi Perlombongan Crypto

Penyelidik dari Universiti Teknologi Graz di Austria dan Universiti Rennes di Perancis telah mendedahkan kelemahan yang membimbangkan mengenai unit pemprosesan grafik (GPU), yang berpotensi dieksploitasi untuk perlombongan mata wang kripto dan aktiviti berniat jahat yang lain. Ancaman yang baru ditemui ini menyasarkan pelayar popular dan kad grafik.

Kerentanan berpusat di sekitar WebGPU, API yang membolehkan pembangun web memanfaatkan GPU komputer untuk tugas berprestasi tinggi secara langsung dalam penyemak imbas web. Melalui manipulasi pintar API ini menggunakan JavaScript, para penyelidik telah menunjukkan vektor serangan jauh yang beroperasi sepenuhnya dalam penyemak imbas, menghapuskan keperluan untuk akses terus kepada API GPU asli.

Kaedah serangan ini mewakili salah satu contoh terawal serangan saluran sisi cache GPU yang berasal daripada pelayar web. Dengan menarik pengguna untuk melawat tapak web berniat jahat yang mengehoskan kod eksploitasi, penyerang boleh melaksanakan eksploitasi dari jauh, tanpa interaksi pengguna selain hanya tinggal di tapak selama beberapa minit.

Implikasi kelemahan ini adalah ketara. Serangan itu boleh dimanfaatkan untuk serangan pemasaan antara ketukan kekunci, yang berpotensi mendedahkan maklumat sensitif seperti kata laluan berdasarkan pemasaan ketukan kekunci. Selain itu, ia membolehkan pengekstrakan kunci penyulitan AES berasaskan GPU dan mewujudkan saluran penyempitan data rahsia dengan kadar penghantaran yang sederhana.

Para penyelidik menekankan keperluan vendor penyemak imbas untuk merawat akses GPU dengan berhati-hati seperti sumber sensitif keselamatan yang lain. Lukas Giner, salah seorang penyelidik, menyerlahkan risiko yang ditimbulkan oleh penyemak imbas yang memberikan tapak web akses tanpa had kepada GPU sistem hos, memetik potensi untuk serangan senyap atau bahkan operasi perlombongan mata wang kripto secara rahsia tanpa kesedaran pengguna.

Penyelidikan itu menyasarkan pelbagai kad grafik desktop daripada AMD dan NVIDIA, yang mempengaruhi penyemak imbas yang menyokong WebGPU, termasuk Chrome, Chromium, Edge dan Firefox Nightly. Walaupun pemberitahuan kepada pemaju Mozilla, AMD, NVIDIA dan Chromium, hanya AMD telah mengeluarkan respons, menyatakan mereka tidak percaya penyelidik telah menunjukkan eksploitasi terhadap produk mereka.

Para penyelidik mencadangkan untuk melaksanakan pop timbul kebenaran yang serupa dengan akses mikrofon atau kamera untuk mengurangkan risiko. Walau bagaimanapun, pasukan Chromium menyatakan tempahan, memetik potensi untuk menambah geseran pengguna tanpa faedah keselamatan yang setimpal.

Pendedahan ini menekankan keperluan kritikal untuk langkah proaktif untuk menjamin akses GPU dalam penyemak imbas, kerana kegagalan untuk menangani kelemahan ini boleh mendedahkan pengguna kepada pelbagai aktiviti berniat jahat, daripada kecurian data hingga perlombongan mata wang kripto terselindung.