Удаљени ГПУ напад изазива ризик да прегледачи дају веб локацијама приступ графичким картицама за потенцијалне експлоатације крипто рударства

Истраживачи са Технолошког универзитета у Грацу у Аустрији и Универзитета у Рену у Француској открили су забрињавајућу рањивост у вези са јединицама за обраду графике (ГПУ), које би потенцијално могле да се искористе за рударење криптовалута и друге злонамерне активности. Ова новооткривена претња циља на популарне претраживаче и графичке картице.

Рањивост се усредсређује око ВебГПУ-а, АПИ-ја који омогућава веб програмерима да користе ГПУ рачунара за задатке високих перформанси директно у веб претраживачу. Кроз паметну манипулацију овим АПИ-јем користећи ЈаваСцрипт, истраживачи су демонстрирали вектор удаљеног напада који у потпуности функционише унутар претраживача, елиминишући потребу за директним приступом изворним ГПУ АПИ-јима.

Овај метод напада представља једну од најранијих инстанци напада на бочни канал ГПУ кеша који потиче из веб претраживача. Привлачећи кориснике да посете злонамерну веб локацију на којој се налази код за експлоатацију, нападачи могу да изврше експлоатацију на даљину, без интеракције корисника осим што остају на сајту неколико минута.

Импликације ове рањивости су значајне. Напад се може искористити за временске нападе између притисака на тастер, потенцијално откривајући осетљиве информације као што су лозинке засноване на времену притиска на тастер. Штавише, омогућава екстракцију АЕС кључева за шифровање заснованих на ГПУ-у и успоставља прикривене канале за ексфилтрацију података са умереним брзинама преноса.

Истраживачи наглашавају потребу да произвођачи претраживача третирају приступ ГПУ-у са истим опрезом као и други безбедносно осетљиви ресурси. Лукас Гинер, један од истраживача, истиче ризике које представљају претраживачи који веб локацијама дају неограничен приступ ГПУ система домаћина, наводећи потенцијал за прикривене нападе или чак прикривене операције рударења криптовалута без свести корисника.

Истраживање је циљало низ графичких картица за десктоп рачунаре и од АМД-а и од НВИДИА-е, утичући на претраживаче који подржавају ВебГПУ, укључујући Цхроме, Цхромиум, Едге и Фирефок Нигхтли. Упркос обавештењима Мозилла, АМД, НВИДИА и Цхромиум програмерима, само је АМД дао одговор, наводећи да не верују да су истраживачи демонстрирали експлоатацију својих производа.

Истраживачи су предложили имплементацију искачућег прозора за дозволу који је сличан онима за приступ микрофону или камери како би се смањио ризик. Међутим, тим Цхромиум-а изразио је резерву, наводећи потенцијал за додавање корисничких трења без сразмерних безбедносних предности.

Ово откриће наглашава критичну потребу за проактивним мерама за обезбеђивање приступа ГПУ-у унутар претраживача, јер би неуспех у решавању ове рањивости могао да изложи кориснике низу злонамерних активности, од крађе података до тајног рударења криптовалута.