Externe GPU-aanval vergroot het risico dat browsers websites toegang geven tot grafische kaarten voor potentiële cryptomining-exploits

Onderzoekers van de Technische Universiteit van Graz in Oostenrijk en de Universiteit van Rennes in Frankrijk hebben een zorgwekkende kwetsbaarheid onthuld met betrekking tot grafische verwerkingseenheden (GPU's), die mogelijk kunnen worden misbruikt voor cryptocurrency-mining en andere kwaadaardige activiteiten. Deze nieuw ontdekte bedreiging richt zich op populaire browsers en grafische kaarten.

De kwetsbaarheid concentreert zich rond WebGPU, een API waarmee webontwikkelaars rechtstreeks vanuit een webbrowser gebruik kunnen maken van de GPU van een computer voor krachtige taken. Door slimme manipulatie van deze API met behulp van JavaScript hebben de onderzoekers een aanvalsvector op afstand gedemonstreerd die volledig binnen de browser werkt, waardoor de noodzaak voor directe toegang tot native GPU-API's wordt geëlimineerd.

Deze aanvalsmethode vertegenwoordigt een van de eerste gevallen van een GPU-cache side-channel aanval afkomstig van een webbrowser. Door gebruikers te verleiden een kwaadaardige website te bezoeken waarop de exploitcode wordt gehost, kunnen aanvallers de exploit op afstand uitvoeren, zonder enige tussenkomst van de gebruiker, afgezien van een verblijf van enkele minuten op de site.

De gevolgen van deze kwetsbaarheid zijn aanzienlijk. De aanval kan worden ingezet voor aanvallen op de timing tussen toetsaanslagen, waarbij mogelijk gevoelige informatie, zoals wachtwoorden, wordt onthuld op basis van de timing van de toetsaanslagen. Bovendien maakt het de extractie van GPU-gebaseerde AES-encryptiesleutels mogelijk en worden geheime data-exfiltratiekanalen met gematigde transmissiesnelheden tot stand gebracht.

De onderzoekers benadrukken de noodzaak voor browserleveranciers om GPU-toegang met dezelfde voorzichtigheid te behandelen als andere beveiligingsgevoelige bronnen. Lukas Giner, een van de onderzoekers, benadrukt de risico's van browsers die websites onbeperkte toegang verlenen tot de GPU van het hostsysteem, daarbij verwijzend naar de mogelijkheid van heimelijke aanvallen of zelfs geheime cryptocurrency-mijnoperaties zonder dat de gebruiker zich hiervan bewust is.

Het onderzoek richtte zich op een reeks grafische desktopkaarten van zowel AMD als NVIDIA, die van invloed waren op browsers die WebGPU ondersteunen, waaronder Chrome, Chromium, Edge en Firefox Nightly. Ondanks meldingen aan Mozilla-, AMD-, NVIDIA- en Chromium-ontwikkelaars heeft alleen AMD een reactie gegeven waarin staat dat ze niet geloven dat de onderzoekers een exploit tegen hun producten hebben aangetoond.

De onderzoekers stelden voor om een toestemmingspop-up te implementeren, vergelijkbaar met die voor microfoon- of cameratoegang, om het risico te beperken. Het Chromium-team heeft echter bedenkingen geuit, daarbij verwijzend naar het potentieel voor extra gebruikersirritatie zonder evenredige beveiligingsvoordelen.

Deze onthulling onderstreept de cruciale behoefte aan proactieve maatregelen om GPU-toegang binnen browsers te beveiligen, omdat het niet aanpakken van deze kwetsbaarheid gebruikers zou kunnen blootstellen aan een reeks kwaadaardige activiteiten, van gegevensdiefstal tot geheime cryptocurrency-mining.