Fjärrstyrd GPU-attack leder till risk för att webbläsare ger webbplatser tillgång till grafikkort för potentiella kryptominingexploateringar

Forskare från Graz University of Technology i Österrike och University of Rennes i Frankrike har avslöjat en oroande sårbarhet när det gäller grafikprocessorer (GPU), som potentiellt kan utnyttjas för brytning av kryptovalutor och andra skadliga aktiviteter. Detta nyupptäckta hot riktar sig mot populära webbläsare och grafikkort.

Sårbarheten kretsar kring WebGPU, ett API som gör det möjligt för webbutvecklare att utnyttja en dators GPU för högpresterande uppgifter direkt i en webbläsare. Genom smart manipulation av detta API med JavaScript har forskarna visat en fjärrangreppsvektor som fungerar helt i webbläsaren, vilket eliminerar behovet av direkt åtkomst till inbyggda GPU API:er.

Denna attackmetod representerar ett av de tidigaste fallen av en GPU-cache-sidokanalattack som kommer från en webbläsare. Genom att locka användare att besöka en skadlig webbplats som är värd för exploateringskoden, kan angripare utföra exploateringen på distans, utan någon användarinteraktion utöver att bara stanna på webbplatsen i några minuter.

Konsekvenserna av denna sårbarhet är betydande. Attacken kan utnyttjas för attacker mellan tangenttryckningar och potentiellt avslöjar känslig information som lösenord baserat på tangenttryckningstider. Dessutom möjliggör det extrahering av GPU-baserade AES-krypteringsnycklar och etablerar hemliga dataexfiltreringskanaler med måttliga överföringshastigheter.

Forskarna betonar behovet av webbläsarleverantörer att behandla GPU-åtkomst med samma försiktighet som andra säkerhetskänsliga resurser. Lukas Giner, en av forskarna, lyfter fram riskerna med att webbläsare ger webbplatser obegränsad åtkomst till värdsystemets GPU, med hänvisning till potentialen för smygande attacker eller till och med hemlig brytning av kryptovaluta utan att användaren är medveten om det.

Forskningen riktade sig till en rad skrivbordsgrafikkort från både AMD och NVIDIA, vilket påverkar webbläsare som stöder WebGPU, inklusive Chrome, Chromium, Edge och Firefox Nightly. Trots meddelanden till Mozilla-, AMD-, NVIDIA- och Chromium-utvecklare är det bara AMD som har skickat ett svar där de säger att de inte tror att forskarna har visat ett utnyttjande mot deras produkter.

Forskarna föreslog att man skulle implementera en tillståndspop-up liknande dem för mikrofon- eller kameraåtkomst för att minska risken. Chromium-teamet uttryckte dock reservationer och hänvisade till potentialen för att lägga till användarfriktion utan motsvarande säkerhetsfördelar.

Denna avslöjande understryker det kritiska behovet av proaktiva åtgärder för att säkra GPU-åtkomst i webbläsare, eftersom underlåtenhet att åtgärda denna sårbarhet kan utsätta användare för en rad skadliga aktiviteter, från datastöld till hemlig brytning av kryptovalutor.