రిమోట్ GPU అటాక్ సంభావ్య క్రిప్టో మైనింగ్ దోపిడీల కోసం వెబ్సైట్లకు గ్రాఫిక్ కార్డ్లకు యాక్సెస్ ఇచ్చే బ్రౌజర్ల ప్రమాదాన్ని ప్రేరేపిస్తుంది.
ఆస్ట్రియాలోని గ్రాజ్ యూనివర్శిటీ ఆఫ్ టెక్నాలజీ మరియు ఫ్రాన్స్లోని రెన్నెస్ యూనివర్శిటీ పరిశోధకులు గ్రాఫిక్స్ ప్రాసెసింగ్ యూనిట్ల (GPUలు) గురించిన దుర్బలత్వాన్ని బహిర్గతం చేశారు, వీటిని క్రిప్టోకరెన్సీ మైనింగ్ మరియు ఇతర హానికరమైన కార్యకలాపాలకు ఉపయోగించుకోవచ్చు . కొత్తగా కనుగొనబడిన ఈ ముప్పు ప్రముఖ బ్రౌజర్లు మరియు గ్రాఫిక్స్ కార్డ్లను లక్ష్యంగా చేసుకుంది.
వెబ్జీపీయూ చుట్టూ దుర్బలత్వం కేంద్రీకృతమై ఉంది, వెబ్ డెవలపర్లు వెబ్ బ్రౌజర్లో నేరుగా అధిక-పనితీరు గల పనుల కోసం కంప్యూటర్ యొక్క GPUలోకి ట్యాప్ చేయడానికి అనుమతించే API. జావాస్క్రిప్ట్ని ఉపయోగించి ఈ API యొక్క తెలివైన మానిప్యులేషన్ ద్వారా, పరిశోధకులు పూర్తిగా బ్రౌజర్లో పనిచేసే రిమోట్ అటాక్ వెక్టర్ను ప్రదర్శించారు, స్థానిక GPU APIలకు ప్రత్యక్ష ప్రాప్యత అవసరాన్ని తొలగిస్తారు.
ఈ దాడి పద్ధతి వెబ్ బ్రౌజర్ నుండి ఉత్పన్నమయ్యే GPU కాష్ సైడ్-ఛానల్ దాడికి సంబంధించిన ప్రారంభ సందర్భాలలో ఒకటి. దోపిడీ కోడ్ని హోస్ట్ చేసే హానికరమైన వెబ్సైట్ను సందర్శించమని వినియోగదారులను ప్రలోభపెట్టడం ద్వారా, దాడి చేసేవారు రిమోట్గా దోపిడీని అమలు చేయగలరు, కేవలం సైట్లో కొన్ని నిమిషాల పాటు ఉండటమే కాకుండా వినియోగదారు పరస్పర చర్య ఉండదు.
ఈ దుర్బలత్వం యొక్క చిక్కులు ముఖ్యమైనవి. కీస్ట్రోక్ టైమింగ్ ఆధారంగా పాస్వర్డ్ల వంటి సున్నితమైన సమాచారాన్ని సంభావ్యంగా బహిర్గతం చేసే ఇంటర్-కీస్ట్రోక్ టైమింగ్ అటాక్ల కోసం దాడిని ఉపయోగించుకోవచ్చు. అంతేకాకుండా, ఇది GPU-ఆధారిత AES ఎన్క్రిప్షన్ కీల వెలికితీతను ప్రారంభిస్తుంది మరియు మితమైన ప్రసార రేట్లతో రహస్య డేటా ఎక్స్ఫిల్ట్రేషన్ ఛానెల్లను ఏర్పాటు చేస్తుంది.
ఇతర భద్రతా-సున్నితమైన వనరుల మాదిరిగానే బ్రౌజర్ విక్రేతలు GPU యాక్సెస్ను అదే హెచ్చరికతో వ్యవహరించాల్సిన అవసరాన్ని పరిశోధకులు నొక్కి చెప్పారు. పరిశోధకులలో ఒకరైన లుకాస్ గినెర్, వెబ్సైట్లకు హోస్ట్ సిస్టమ్ యొక్క GPUకి అనియంత్రిత యాక్సెస్ను మంజూరు చేసే బ్రౌజర్ల వల్ల కలిగే నష్టాలను హైలైట్ చేశారు, రహస్య దాడులు లేదా వినియోగదారు అవగాహన లేకుండా రహస్య క్రిప్టోకరెన్సీ మైనింగ్ కార్యకలాపాలకు సంభావ్యతను ఉటంకిస్తూ.
పరిశోధన AMD మరియు NVIDIA రెండింటి నుండి డెస్క్టాప్ గ్రాఫిక్స్ కార్డ్ల శ్రేణిని లక్ష్యంగా చేసుకుంది, Chrome, Chromium, Edge మరియు Firefox Nightlyతో సహా WebGPUకి మద్దతు ఇచ్చే బ్రౌజర్లను ప్రభావితం చేస్తుంది. Mozilla, AMD, NVIDIA మరియు Chromium డెవలపర్లకు నోటిఫికేషన్లు ఉన్నప్పటికీ, AMD మాత్రమే ప్రతిస్పందనను జారీ చేసింది, పరిశోధకులు తమ ఉత్పత్తులపై దోపిడీని ప్రదర్శించారని తాము నమ్మడం లేదని పేర్కొంది.
ప్రమాదాన్ని తగ్గించడానికి మైక్రోఫోన్ లేదా కెమెరా యాక్సెస్కు సమానమైన పాప్-అప్ అనుమతిని అమలు చేయాలని పరిశోధకులు సూచించారు. అయినప్పటికీ, Chromium బృందం భద్రతా ప్రయోజనాలకు అనుగుణంగా వినియోగదారు ఘర్షణను జోడించే సామర్థ్యాన్ని పేర్కొంటూ రిజర్వేషన్లను వ్యక్తం చేసింది.
బ్రౌజర్లలో GPU యాక్సెస్ను సురక్షితంగా ఉంచడానికి చురుకైన చర్యల యొక్క క్లిష్టమైన అవసరాన్ని ఈ వెల్లడి నొక్కి చెబుతుంది, ఎందుకంటే ఈ దుర్బలత్వాన్ని పరిష్కరించడంలో వైఫల్యం వినియోగదారులు డేటా దొంగతనం నుండి రహస్య క్రిప్టోకరెన్సీ మైనింగ్ వరకు హానికరమైన కార్యకలాపాల శ్రేణికి గురి కావచ్చు.