रिमोट GPU आक्रमणले सम्भावित क्रिप्टो खनन शोषणका लागि वेबसाइटहरूलाई ग्राफिक कार्डहरूमा पहुँच दिने ब्राउजरहरूको जोखिमलाई संकेत गर्दछ।
अस्ट्रियाको ग्राज युनिभर्सिटी अफ टेक्नोलोजी र फ्रान्सको रेन्स युनिभर्सिटीका अनुसन्धानकर्ताहरूले ग्राफिक्स प्रशोधन एकाइहरू (GPUs) सम्बन्धी एउटा जोखिमको बारेमा खुलासा गरेका छन्, जुन क्रिप्टोकरेन्सी खनन र अन्य खराब गतिविधिहरूको लागि सम्भावित रूपमा शोषण गर्न सकिन्छ। यो नयाँ पत्ता लागेको खतरा लोकप्रिय ब्राउजर र ग्राफिक्स कार्डहरूलाई लक्षित गर्दछ।
WebGPU वरिपरि भेद्यता केन्द्रहरू, वेब विकासकर्ताहरूलाई वेब ब्राउजर भित्र सीधा उच्च-कार्यसम्पादन कार्यहरूको लागि कम्प्युटरको GPU मा ट्याप गर्न अनुमति दिने API। जाभास्क्रिप्ट प्रयोग गरेर यस API को चलाखीपूर्ण हेरफेर मार्फत, शोधकर्ताहरूले रिमोट आक्रमण भेक्टर प्रदर्शन गरेका छन् जुन ब्राउजर भित्र पूर्ण रूपमा सञ्चालन हुन्छ, नेटिभ GPU API हरूमा प्रत्यक्ष पहुँचको आवश्यकतालाई हटाउँदै।
यो आक्रमण विधिले वेब ब्राउजरबाट उत्पन्न भएको GPU क्यास साइड-च्यानल आक्रमणको प्रारम्भिक उदाहरणहरू मध्ये एक प्रतिनिधित्व गर्दछ। प्रयोगकर्ताहरूलाई शोषण कोड होस्ट गर्ने दुर्भावनापूर्ण वेबसाइट भ्रमण गर्न प्रलोभित गरेर, आक्रमणकारीहरूले टाढाबाट शोषण कार्यान्वयन गर्न सक्छन्, केही मिनेटको लागि साइटमा मात्र रहनुभन्दा बाहिर कुनै प्रयोगकर्ता अन्तरक्रिया बिना।
यस जोखिमको प्रभावहरू महत्त्वपूर्ण छन्। आक्रमणलाई अन्तर-किस्ट्रोक टाइमिङ आक्रमणहरूका लागि लिभरेज गर्न सकिन्छ, सम्भावित रूपमा किस्ट्रोक टाइमिङमा आधारित पासवर्डहरू जस्ता संवेदनशील जानकारीहरू प्रकट गर्ने। यसबाहेक, यसले GPU-आधारित AES एन्क्रिप्शन कुञ्जीहरूको निकासीलाई सक्षम बनाउँछ र मध्यम प्रसारण दरहरूको साथ गुप्त डेटा एक्सफिल्ट्रेसन च्यानलहरू स्थापना गर्दछ।
अन्वेषकहरूले अन्य सुरक्षा-संवेदनशील स्रोतहरू जस्तै समान सावधानीका साथ GPU पहुँचलाई व्यवहार गर्न ब्राउजर विक्रेताहरूको आवश्यकतालाई जोड दिन्छन्। लुकास जिनर, एक अन्वेषक, ब्राउजरहरूले वेबसाइटहरूलाई होस्ट प्रणालीको GPU मा अप्रतिबन्धित पहुँच प्रदान गर्ने जोखिमहरू हाइलाइट गर्दछ, प्रयोगकर्ताको सचेतना बिना लुकेका आक्रमणहरू वा गुप्त क्रिप्टोकरेन्सी खनन कार्यहरूको सम्भावनालाई उद्धृत गर्दै।
अनुसन्धानले क्रोम, क्रोमियम, एज, र फायरफक्स नाइटली सहित वेबजीपीयूलाई समर्थन गर्ने ब्राउजरहरूलाई असर गर्दै AMD र NVIDIA दुवैबाट डेस्कटप ग्राफिक्स कार्डहरूको दायरालाई लक्षित गर्यो। Mozilla, AMD, NVIDIA, र Chromium विकासकर्ताहरूलाई सूचनाहरूको बावजुद, केवल AMD ले प्रतिक्रिया जारी गरेको छ, उनीहरूले अनुसन्धानकर्ताहरूले उनीहरूको उत्पादनहरू विरुद्ध शोषण प्रदर्शन गरेको विश्वास गर्दैनन्।
अनुसन्धानकर्ताहरूले जोखिम कम गर्न माइक्रोफोन वा क्यामेरा पहुँचका लागि अनुमति पप-अप लागू गर्न सुझाव दिए। यद्यपि, क्रोमियम टोलीले समानुपातिक सुरक्षा लाभहरू बिना प्रयोगकर्ता घर्षण थप्ने सम्भावनालाई उद्धृत गर्दै रिजर्भेसनहरू व्यक्त गर्यो।
यस खुलासाले ब्राउजरहरू भित्र GPU पहुँच सुरक्षित गर्न सक्रिय उपायहरूको महत्वपूर्ण आवश्यकतालाई जोड दिन्छ, किनकि यस जोखिमलाई सम्बोधन गर्न असफल हुँदा प्रयोगकर्ताहरूलाई डेटा चोरीदेखि गुप्त क्रिप्टोकरेन्सी खननसम्म विभिन्न दुर्भावनापूर्ण गतिविधिहरूमा पर्दाफास गर्न सक्छ।