ਰਿਮੋਟ GPU ਅਟੈਕ ਸੰਭਾਵੀ ਕ੍ਰਿਪਟੋ ਮਾਈਨਿੰਗ ਸ਼ੋਸ਼ਣ ਲਈ ਵੈਬਸਾਈਟਾਂ ਨੂੰ ਗ੍ਰਾਫਿਕ ਕਾਰਡਾਂ ਤੱਕ ਪਹੁੰਚ ਦੇਣ ਵਾਲੇ ਬ੍ਰਾਉਜ਼ਰਾਂ ਦੇ ਜੋਖਮ ਨੂੰ ਪੁੱਛਦਾ ਹੈ
ਆਸਟ੍ਰੀਆ ਵਿੱਚ ਗ੍ਰੈਜ਼ ਯੂਨੀਵਰਸਿਟੀ ਆਫ਼ ਟੈਕਨਾਲੋਜੀ ਅਤੇ ਫਰਾਂਸ ਵਿੱਚ ਰੇਨੇਸ ਯੂਨੀਵਰਸਿਟੀ ਦੇ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਗ੍ਰਾਫਿਕਸ ਪ੍ਰੋਸੈਸਿੰਗ ਯੂਨਿਟਾਂ (ਜੀਪੀਯੂ) ਦੇ ਸੰਬੰਧ ਵਿੱਚ ਇੱਕ ਕਮਜ਼ੋਰੀ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ, ਜਿਸਦਾ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਮਾਈਨਿੰਗ ਅਤੇ ਹੋਰ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀਆਂ ਲਈ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਇਹ ਨਵਾਂ ਖੋਜਿਆ ਖਤਰਾ ਪ੍ਰਸਿੱਧ ਬ੍ਰਾਊਜ਼ਰਾਂ ਅਤੇ ਗ੍ਰਾਫਿਕਸ ਕਾਰਡਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ।
ਵੈਬਜੀਪੀਯੂ ਦੇ ਆਲੇ-ਦੁਆਲੇ ਕਮਜ਼ੋਰੀ ਕੇਂਦਰਾਂ, ਇੱਕ API ਜੋ ਵੈੱਬ ਡਿਵੈਲਪਰਾਂ ਨੂੰ ਇੱਕ ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰ ਦੇ ਅੰਦਰ ਉੱਚ-ਪ੍ਰਦਰਸ਼ਨ ਵਾਲੇ ਕੰਮਾਂ ਲਈ ਇੱਕ ਕੰਪਿਊਟਰ ਦੇ GPU ਵਿੱਚ ਟੈਪ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ। JavaScript ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਇਸ API ਦੀ ਚਲਾਕ ਹੇਰਾਫੇਰੀ ਦੁਆਰਾ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਰਿਮੋਟ ਅਟੈਕ ਵੈਕਟਰ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕੀਤਾ ਹੈ ਜੋ ਬ੍ਰਾਊਜ਼ਰ ਦੇ ਅੰਦਰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਨੇਟਿਵ GPU APIs ਤੱਕ ਸਿੱਧੀ ਪਹੁੰਚ ਦੀ ਜ਼ਰੂਰਤ ਨੂੰ ਖਤਮ ਕਰਦਾ ਹੈ।
ਇਹ ਹਮਲਾ ਵਿਧੀ ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰ ਤੋਂ ਸ਼ੁਰੂ ਹੋਣ ਵਾਲੇ GPU ਕੈਸ਼ ਸਾਈਡ-ਚੈਨਲ ਹਮਲੇ ਦੀਆਂ ਸਭ ਤੋਂ ਪੁਰਾਣੀਆਂ ਉਦਾਹਰਣਾਂ ਵਿੱਚੋਂ ਇੱਕ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ। ਉਪਯੋਗਕਰਤਾਵਾਂ ਨੂੰ ਸ਼ੋਸ਼ਣ ਕੋਡ ਦੀ ਮੇਜ਼ਬਾਨੀ ਕਰਨ ਵਾਲੀ ਇੱਕ ਖਤਰਨਾਕ ਵੈਬਸਾਈਟ 'ਤੇ ਜਾਣ ਲਈ ਲੁਭਾਉਣ ਦੁਆਰਾ, ਹਮਲਾਵਰ ਸ਼ੋਸ਼ਣ ਨੂੰ ਰਿਮੋਟ ਤੋਂ ਚਲਾ ਸਕਦੇ ਹਨ, ਸਿਰਫ ਕੁਝ ਮਿੰਟਾਂ ਲਈ ਸਾਈਟ 'ਤੇ ਰਹਿਣ ਤੋਂ ਇਲਾਵਾ ਕੋਈ ਉਪਭੋਗਤਾ ਇੰਟਰੈਕਸ਼ਨ ਦੇ ਨਾਲ।
ਇਸ ਕਮਜ਼ੋਰੀ ਦੇ ਪ੍ਰਭਾਵ ਮਹੱਤਵਪੂਰਨ ਹਨ। ਹਮਲੇ ਨੂੰ ਅੰਤਰ-ਕੀਸਟ੍ਰੋਕ ਟਾਈਮਿੰਗ ਹਮਲਿਆਂ ਲਈ ਲਿਆ ਜਾ ਸਕਦਾ ਹੈ, ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਕੀਸਟ੍ਰੋਕ ਟਾਈਮਿੰਗ 'ਤੇ ਅਧਾਰਤ ਪਾਸਵਰਡ ਵਰਗੀ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਨੂੰ ਪ੍ਰਗਟ ਕਰਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ GPU- ਅਧਾਰਤ AES ਐਨਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀਆਂ ਨੂੰ ਕੱਢਣ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ ਅਤੇ ਮੱਧਮ ਪ੍ਰਸਾਰਣ ਦਰਾਂ ਦੇ ਨਾਲ ਗੁਪਤ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਚੈਨਲਾਂ ਦੀ ਸਥਾਪਨਾ ਕਰਦਾ ਹੈ।
ਖੋਜਕਰਤਾ ਹੋਰ ਸੁਰੱਖਿਆ-ਸੰਵੇਦਨਸ਼ੀਲ ਸਰੋਤਾਂ ਵਾਂਗ ਹੀ ਸਾਵਧਾਨੀ ਨਾਲ GPU ਪਹੁੰਚ ਦਾ ਇਲਾਜ ਕਰਨ ਲਈ ਬ੍ਰਾਊਜ਼ਰ ਵਿਕਰੇਤਾਵਾਂ ਦੀ ਲੋੜ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦੇ ਹਨ। ਖੋਜਕਰਤਾਵਾਂ ਵਿੱਚੋਂ ਇੱਕ, ਲੁਕਾਸ ਗਿਨਰ, ਉਪਭੋਗਤਾ ਦੀ ਜਾਗਰੂਕਤਾ ਤੋਂ ਬਿਨਾਂ ਗੁਪਤ ਹਮਲਿਆਂ ਜਾਂ ਗੁਪਤ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਮਾਈਨਿੰਗ ਓਪਰੇਸ਼ਨਾਂ ਦੀ ਸੰਭਾਵਨਾ ਦਾ ਹਵਾਲਾ ਦਿੰਦੇ ਹੋਏ, ਵੈੱਬਸਾਈਟਾਂ ਨੂੰ ਹੋਸਟ ਸਿਸਟਮ ਦੇ GPU ਤੱਕ ਅਪ੍ਰਬੰਧਿਤ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਨ ਵਾਲੇ ਬ੍ਰਾਉਜ਼ਰਾਂ ਦੁਆਰਾ ਪੈਦਾ ਹੋਏ ਜੋਖਮਾਂ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ।
ਖੋਜ ਨੇ AMD ਅਤੇ NVIDIA ਦੋਵਾਂ ਤੋਂ ਡੈਸਕਟੌਪ ਗ੍ਰਾਫਿਕਸ ਕਾਰਡਾਂ ਦੀ ਇੱਕ ਰੇਂਜ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ, Chrome, Chromium, Edge, ਅਤੇ Firefox Nightly ਸਮੇਤ WebGPU ਦਾ ਸਮਰਥਨ ਕਰਨ ਵਾਲੇ ਬ੍ਰਾਊਜ਼ਰਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕੀਤਾ। Mozilla, AMD, NVIDIA, ਅਤੇ Chromium ਡਿਵੈਲਪਰਾਂ ਨੂੰ ਸੂਚਨਾਵਾਂ ਦੇ ਬਾਵਜੂਦ, ਸਿਰਫ AMD ਨੇ ਇੱਕ ਜਵਾਬ ਜਾਰੀ ਕੀਤਾ ਹੈ, ਇਹ ਦੱਸਦੇ ਹੋਏ ਕਿ ਉਹ ਵਿਸ਼ਵਾਸ ਨਹੀਂ ਕਰਦੇ ਕਿ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਉਹਨਾਂ ਦੇ ਉਤਪਾਦਾਂ ਦੇ ਵਿਰੁੱਧ ਇੱਕ ਸ਼ੋਸ਼ਣ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕੀਤਾ ਹੈ।
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਜੋਖਮ ਨੂੰ ਘੱਟ ਕਰਨ ਲਈ ਮਾਈਕ੍ਰੋਫੋਨ ਜਾਂ ਕੈਮਰਾ ਐਕਸੈਸ ਲਈ ਅਨੁਮਤੀ ਪੌਪ-ਅਪ ਲਾਗੂ ਕਰਨ ਦਾ ਸੁਝਾਅ ਦਿੱਤਾ। ਹਾਲਾਂਕਿ, Chromium ਟੀਮ ਨੇ ਸੁਰੱਖਿਆ ਲਾਭਾਂ ਤੋਂ ਬਿਨਾਂ ਉਪਭੋਗਤਾ ਦੇ ਰਗੜ ਨੂੰ ਜੋੜਨ ਦੀ ਸੰਭਾਵਨਾ ਦਾ ਹਵਾਲਾ ਦਿੰਦੇ ਹੋਏ ਰਿਜ਼ਰਵੇਸ਼ਨ ਪ੍ਰਗਟ ਕੀਤੀ।
ਇਹ ਖੁਲਾਸਾ ਬ੍ਰਾਊਜ਼ਰਾਂ ਦੇ ਅੰਦਰ GPU ਪਹੁੰਚ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ ਕਿਰਿਆਸ਼ੀਲ ਉਪਾਵਾਂ ਦੀ ਮਹੱਤਵਪੂਰਨ ਲੋੜ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦਾ ਹੈ, ਕਿਉਂਕਿ ਇਸ ਕਮਜ਼ੋਰੀ ਨੂੰ ਹੱਲ ਕਰਨ ਵਿੱਚ ਅਸਫਲਤਾ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਡਾਟਾ ਚੋਰੀ ਤੋਂ ਲੈ ਕੇ ਗੁਪਤ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਮਾਈਨਿੰਗ ਤੱਕ, ਖਤਰਨਾਕ ਗਤੀਵਿਧੀਆਂ ਦੀ ਇੱਕ ਸੀਮਾ ਦਾ ਸਾਹਮਣਾ ਕਰ ਸਕਦੀ ਹੈ।