การโจมตี GPU ระยะไกลแจ้งความเสี่ยงของเบราว์เซอร์ที่ทำให้เว็บไซต์สามารถเข้าถึงกราฟิกการ์ดเพื่อการขุด Crypto Mining ที่อาจเกิดขึ้น
นักวิจัยจากมหาวิทยาลัยเทคโนโลยีกราซในออสเตรียและมหาวิทยาลัยแรนส์ในฝรั่งเศสได้เปิดเผยช่องโหว่ที่เกี่ยวข้องกับหน่วยประมวลผลกราฟิก (GPU) ซึ่งอาจนำไป ใช้ประโยชน์ในการขุด cryptocurrency และกิจกรรมที่เป็นอันตรายอื่น ๆ ภัยคุกคามที่เพิ่งค้นพบนี้มุ่งเป้าไปที่เบราว์เซอร์และกราฟิกการ์ดยอดนิยม
ช่องโหว่นี้มีศูนย์กลางอยู่ที่ WebGPU ซึ่งเป็น API ที่ช่วยให้นักพัฒนาเว็บสามารถเข้าถึง GPU ของคอมพิวเตอร์สำหรับงานที่มีประสิทธิภาพสูงได้โดยตรงภายในเว็บเบราว์เซอร์ ด้วยการจัดการ API นี้อย่างชาญฉลาดโดยใช้ JavaScript นักวิจัยได้สาธิตเวกเตอร์การโจมตีระยะไกลที่ทำงานภายในเบราว์เซอร์ทั้งหมด โดยไม่จำเป็นต้องเข้าถึง GPU API ดั้งเดิมโดยตรง
วิธีการโจมตีนี้ถือเป็นกรณีแรกสุดของการโจมตีช่องทางด้านข้างแคช GPU ที่เกิดจากเว็บเบราว์เซอร์ ด้วยการล่อลวงให้ผู้ใช้เยี่ยมชมเว็บไซต์ที่เป็นอันตรายซึ่งโฮสต์โค้ดการหาประโยชน์ ผู้โจมตีสามารถดำเนินการหาช่องโหว่ได้จากระยะไกล โดยที่ผู้ใช้ไม่ต้องโต้ตอบอะไรนอกจากอยู่บนเว็บไซต์เพียงไม่กี่นาที
ผลกระทบของช่องโหว่นี้มีความสำคัญ การโจมตีนี้สามารถใช้ประโยชน์จากการโจมตีจังหวะการกดแป้นพิมพ์ระหว่างกัน ซึ่งอาจเปิดเผยข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านตามเวลาการกดแป้นพิมพ์ นอกจากนี้ยังช่วยให้สามารถแยกคีย์เข้ารหัส AES ที่ใช้ GPU และสร้างช่องทางการกรองข้อมูลที่ซ่อนอยู่ด้วยอัตราการส่งข้อมูลปานกลาง
นักวิจัยเน้นย้ำถึงความจำเป็นที่ผู้จำหน่ายเบราว์เซอร์ต้องปฏิบัติต่อการเข้าถึง GPU ด้วยความระมัดระวังเช่นเดียวกับทรัพยากรที่ไวต่อความปลอดภัยอื่นๆ Lukas Giner หนึ่งในนักวิจัย เน้นย้ำถึงความเสี่ยงที่เกิดจากเบราว์เซอร์ที่อนุญาตให้เว็บไซต์เข้าถึง GPU ของระบบโฮสต์ได้อย่างไม่จำกัด โดยอ้างถึงศักยภาพในการโจมตีแบบซ่อนตัว หรือแม้แต่ แอบแฝงการดำเนินการขุด cryptocurrency โดยที่ผู้ใช้ไม่รู้ตัว
การวิจัยมุ่งเป้าไปที่การ์ดกราฟิกเดสก์ท็อปหลายตัวจากทั้ง AMD และ NVIDIA ซึ่งส่งผลต่อเบราว์เซอร์ที่รองรับ WebGPU รวมถึง Chrome, Chromium, Edge และ Firefox Nightly แม้จะมีการแจ้งเตือนไปยังผู้พัฒนา Mozilla, AMD, NVIDIA และ Chromium แต่มีเพียง AMD เท่านั้นที่ออกคำตอบ โดยระบุว่าพวกเขาไม่เชื่อว่านักวิจัยได้แสดงให้เห็นถึงการใช้ประโยชน์จากผลิตภัณฑ์ของตน
นักวิจัยแนะนำให้ติดตั้งป๊อปอัปการอนุญาตเช่นเดียวกับการเข้าถึงไมโครโฟนหรือกล้องเพื่อลดความเสี่ยง อย่างไรก็ตาม ทีมงาน Chromium ได้แสดงความกังวล โดยอ้างถึงศักยภาพในการเพิ่มความขัดแย้งให้กับผู้ใช้โดยไม่มีสิทธิประโยชน์ด้านความปลอดภัยที่สมน้ำสมเนื้อ
การเปิดเผยนี้เน้นย้ำถึงความจำเป็นที่สำคัญสำหรับมาตรการเชิงรุกเพื่อรักษาความปลอดภัยการเข้าถึง GPU ภายในเบราว์เซอร์ เนื่องจากความล้มเหลวในการแก้ไขช่องโหว่นี้อาจทำให้ผู้ใช้ต้องเผชิญกับกิจกรรมที่เป็นอันตรายมากมาย ตั้งแต่การโจรกรรมข้อมูลไปจนถึงการขุดเหมืองสกุลเงินดิจิตอลที่แอบแฝง