Sulmi i GPU në distancë shkakton rrezikun e shfletuesve që u japin faqeve të internetit qasje në kartat grafike për shfrytëzime të mundshme të minierave të kriptove
Studiuesit nga Universiteti i Teknologjisë i Grazit në Austri dhe Universiteti i Rennes në Francë kanë zbuluar një dobësi shqetësuese në lidhje me njësitë e përpunimit të grafikës (GPU), të cilat potencialisht mund të shfrytëzohen për minierat e kriptomonedhave dhe aktivitete të tjera me qëllim të keq. Ky kërcënim i zbuluar rishtazi synon shfletuesit dhe kartat grafike të njohura.
Dobësia përqendrohet rreth WebGPU, një API që lejon zhvilluesit e uebit të përdorin GPU-në e një kompjuteri për detyra me performancë të lartë direkt brenda një shfletuesi uebi. Nëpërmjet manipulimit të zgjuar të këtij API duke përdorur JavaScript, studiuesit kanë demonstruar një vektor sulmi në distancë që funksionon tërësisht brenda shfletuesit, duke eliminuar nevojën për qasje të drejtpërdrejtë në API-të amtare GPU.
Kjo metodë sulmi përfaqëson një nga rastet më të hershme të një sulmi në kanalin anësor të cache GPU me origjinë nga një shfletues ueb. Duke i joshur përdoruesit të vizitojnë një faqe interneti me qëllim të keq që pret kodin e shfrytëzimit, sulmuesit mund ta ekzekutojnë shfrytëzimin nga distanca, pa asnjë ndërveprim të përdoruesit përtej qëndrimit të thjeshtë në sajt për disa minuta.
Implikimet e kësaj cenueshmërie janë të rëndësishme. Sulmi mund të përdoret për sulmet e kohës së goditjes së tastierës, duke zbuluar potencialisht informacione të ndjeshme si fjalëkalimet e bazuara në kohën e goditjes së tastierës. Për më tepër, ai mundëson nxjerrjen e çelësave të enkriptimit AES të bazuara në GPU dhe krijon kanale të fshehta të eksfiltrimit të të dhënave me shpejtësi të moderuar transmetimi.
Studiuesit theksojnë nevojën që shitësit e shfletuesit të trajtojnë aksesin GPU me të njëjtin kujdes si burimet e tjera të ndjeshme ndaj sigurisë. Lukas Giner, një nga studiuesit, thekson rreziqet e paraqitura nga shfletuesit që u japin faqeve të internetit akses të pakufizuar në GPU-në e sistemit pritës, duke përmendur potencialin për sulme të fshehta apo edhe operacione të fshehta të minierave të kriptomonedhave pa vetëdijen e përdoruesit.
Hulumtimi synoi një sërë kartash grafike desktop nga AMD dhe NVIDIA, duke prekur shfletuesit që mbështesin WebGPU, duke përfshirë Chrome, Chromium, Edge dhe Firefox Nightly. Pavarësisht njoftimeve për zhvilluesit e Mozilla, AMD, NVIDIA dhe Chromium, vetëm AMD ka lëshuar një përgjigje, duke deklaruar se nuk besojnë se studiuesit kanë demonstruar një shfrytëzim kundër produkteve të tyre.
Studiuesit sugjeruan zbatimin e një dritareje të ngjashme me lejet për aksesin e mikrofonit ose kamerës për të zbutur rrezikun. Megjithatë, ekipi i Chromium shprehu rezerva, duke përmendur mundësinë e shtimit të fërkimit të përdoruesit pa përfitime proporcionale të sigurisë.
Ky zbulim nënvizon nevojën kritike për masa proaktive për të siguruar aksesin GPU brenda shfletuesve, pasi dështimi për të adresuar këtë dobësi mund t'i ekspozojë përdoruesit ndaj një sërë aktivitetesh keqdashëse, nga vjedhja e të dhënave deri te minierat e fshehta të kriptomonedhave.