రిమోట్ GPU అటాక్ సంభావ్య క్రిప్టో మైనింగ్ దోపిడీల కోసం వెబ్‌సైట్‌లకు గ్రాఫిక్ కార్డ్‌లకు యాక్సెస్ ఇచ్చే బ్రౌజర్‌ల ప్రమాదాన్ని ప్రేరేపిస్తుంది.

ఆస్ట్రియాలోని గ్రాజ్ యూనివర్శిటీ ఆఫ్ టెక్నాలజీ మరియు ఫ్రాన్స్‌లోని రెన్నెస్ యూనివర్శిటీ పరిశోధకులు గ్రాఫిక్స్ ప్రాసెసింగ్ యూనిట్‌ల (GPUలు) గురించిన దుర్బలత్వాన్ని బహిర్గతం చేశారు, వీటిని క్రిప్టోకరెన్సీ మైనింగ్ మరియు ఇతర హానికరమైన కార్యకలాపాలకు ఉపయోగించుకోవచ్చు . కొత్తగా కనుగొనబడిన ఈ ముప్పు ప్రముఖ బ్రౌజర్‌లు మరియు గ్రాఫిక్స్ కార్డ్‌లను లక్ష్యంగా చేసుకుంది.

వెబ్‌జీపీయూ చుట్టూ దుర్బలత్వం కేంద్రీకృతమై ఉంది, వెబ్ డెవలపర్‌లు వెబ్ బ్రౌజర్‌లో నేరుగా అధిక-పనితీరు గల పనుల కోసం కంప్యూటర్ యొక్క GPUలోకి ట్యాప్ చేయడానికి అనుమతించే API. జావాస్క్రిప్ట్‌ని ఉపయోగించి ఈ API యొక్క తెలివైన మానిప్యులేషన్ ద్వారా, పరిశోధకులు పూర్తిగా బ్రౌజర్‌లో పనిచేసే రిమోట్ అటాక్ వెక్టర్‌ను ప్రదర్శించారు, స్థానిక GPU APIలకు ప్రత్యక్ష ప్రాప్యత అవసరాన్ని తొలగిస్తారు.

ఈ దాడి పద్ధతి వెబ్ బ్రౌజర్ నుండి ఉత్పన్నమయ్యే GPU కాష్ సైడ్-ఛానల్ దాడికి సంబంధించిన ప్రారంభ సందర్భాలలో ఒకటి. దోపిడీ కోడ్‌ని హోస్ట్ చేసే హానికరమైన వెబ్‌సైట్‌ను సందర్శించమని వినియోగదారులను ప్రలోభపెట్టడం ద్వారా, దాడి చేసేవారు రిమోట్‌గా దోపిడీని అమలు చేయగలరు, కేవలం సైట్‌లో కొన్ని నిమిషాల పాటు ఉండటమే కాకుండా వినియోగదారు పరస్పర చర్య ఉండదు.

ఈ దుర్బలత్వం యొక్క చిక్కులు ముఖ్యమైనవి. కీస్ట్రోక్ టైమింగ్ ఆధారంగా పాస్‌వర్డ్‌ల వంటి సున్నితమైన సమాచారాన్ని సంభావ్యంగా బహిర్గతం చేసే ఇంటర్-కీస్ట్రోక్ టైమింగ్ అటాక్‌ల కోసం దాడిని ఉపయోగించుకోవచ్చు. అంతేకాకుండా, ఇది GPU-ఆధారిత AES ఎన్‌క్రిప్షన్ కీల వెలికితీతను ప్రారంభిస్తుంది మరియు మితమైన ప్రసార రేట్లతో రహస్య డేటా ఎక్స్‌ఫిల్ట్రేషన్ ఛానెల్‌లను ఏర్పాటు చేస్తుంది.

ఇతర భద్రతా-సున్నితమైన వనరుల మాదిరిగానే బ్రౌజర్ విక్రేతలు GPU యాక్సెస్‌ను అదే హెచ్చరికతో వ్యవహరించాల్సిన అవసరాన్ని పరిశోధకులు నొక్కి చెప్పారు. పరిశోధకులలో ఒకరైన లుకాస్ గినెర్, వెబ్‌సైట్‌లకు హోస్ట్ సిస్టమ్ యొక్క GPUకి అనియంత్రిత యాక్సెస్‌ను మంజూరు చేసే బ్రౌజర్‌ల వల్ల కలిగే నష్టాలను హైలైట్ చేశారు, రహస్య దాడులు లేదా వినియోగదారు అవగాహన లేకుండా రహస్య క్రిప్టోకరెన్సీ మైనింగ్ కార్యకలాపాలకు సంభావ్యతను ఉటంకిస్తూ.

పరిశోధన AMD మరియు NVIDIA రెండింటి నుండి డెస్క్‌టాప్ గ్రాఫిక్స్ కార్డ్‌ల శ్రేణిని లక్ష్యంగా చేసుకుంది, Chrome, Chromium, Edge మరియు Firefox Nightlyతో సహా WebGPUకి మద్దతు ఇచ్చే బ్రౌజర్‌లను ప్రభావితం చేస్తుంది. Mozilla, AMD, NVIDIA మరియు Chromium డెవలపర్‌లకు నోటిఫికేషన్‌లు ఉన్నప్పటికీ, AMD మాత్రమే ప్రతిస్పందనను జారీ చేసింది, పరిశోధకులు తమ ఉత్పత్తులపై దోపిడీని ప్రదర్శించారని తాము నమ్మడం లేదని పేర్కొంది.

ప్రమాదాన్ని తగ్గించడానికి మైక్రోఫోన్ లేదా కెమెరా యాక్సెస్‌కు సమానమైన పాప్-అప్ అనుమతిని అమలు చేయాలని పరిశోధకులు సూచించారు. అయినప్పటికీ, Chromium బృందం భద్రతా ప్రయోజనాలకు అనుగుణంగా వినియోగదారు ఘర్షణను జోడించే సామర్థ్యాన్ని పేర్కొంటూ రిజర్వేషన్‌లను వ్యక్తం చేసింది.

బ్రౌజర్‌లలో GPU యాక్సెస్‌ను సురక్షితంగా ఉంచడానికి చురుకైన చర్యల యొక్క క్లిష్టమైన అవసరాన్ని ఈ వెల్లడి నొక్కి చెబుతుంది, ఎందుకంటే ఈ దుర్బలత్వాన్ని పరిష్కరించడంలో వైఫల్యం వినియోగదారులు డేటా దొంగతనం నుండి రహస్య క్రిప్టోకరెన్సీ మైనింగ్ వరకు హానికరమైన కార్యకలాపాల శ్రేణికి గురి కావచ్చు.