Ang Remote GPU Attack ay Nag-uudyok sa Panganib ng Mga Browser na Nagbibigay ng Mga Website ng Access sa Mga Graphic Card para sa Mga Potensyal na Pagsasamantala sa Crypto Mining
Ang mga mananaliksik mula sa Graz University of Technology sa Austria at ang Unibersidad ng Rennes sa France ay nagsiwalat ng tungkol sa kahinaan patungkol sa mga graphics processing unit (GPU), na posibleng mapagsamantalahan para sa pagmimina ng cryptocurrency at iba pang malisyosong aktibidad. Tinatarget ng bagong natuklasang banta na ito ang mga sikat na browser at graphics card.
Nakasentro ang kahinaan sa WebGPU, isang API na nagpapahintulot sa mga web developer na mag-tap sa GPU ng isang computer para sa mga gawaing may mataas na pagganap nang direkta sa loob ng isang web browser. Sa pamamagitan ng matalinong pagmamanipula ng API na ito gamit ang JavaScript, ipinakita ng mga mananaliksik ang isang malayuang vector ng pag-atake na ganap na gumagana sa loob ng browser, na inaalis ang pangangailangan para sa direktang pag-access sa mga native na GPU API.
Kinakatawan ng paraan ng pag-atake na ito ang isa sa mga pinakaunang pagkakataon ng pag-atake sa side-channel ng GPU cache na nagmula sa isang web browser. Sa pamamagitan ng paghikayat sa mga user na bumisita sa isang nakakahamak na website na nagho-host ng exploit code, maaaring isagawa ng mga attacker ang exploit nang malayuan, nang walang pakikipag-ugnayan ng user na higit sa pananatili lamang sa site sa loob ng ilang minuto.
Ang mga implikasyon ng kahinaang ito ay makabuluhan. Maaaring gamitin ang pag-atake para sa mga inter-keystroke timing na pag-atake, na posibleng magbunyag ng sensitibong impormasyon tulad ng mga password batay sa keystroke timing. Bukod dito, pinapagana nito ang pagkuha ng mga key ng AES encryption na nakabatay sa GPU at nagtatatag ng mga tago na channel ng exfiltration ng data na may katamtamang mga rate ng paghahatid.
Binibigyang-diin ng mga mananaliksik ang pangangailangan para sa mga vendor ng browser na tratuhin ang pag-access sa GPU nang may parehong pag-iingat tulad ng iba pang mga mapagkukunang sensitibo sa seguridad. Si Lukas Giner, isa sa mga mananaliksik, ay nagha-highlight sa mga panganib na dulot ng mga browser na nagbibigay sa mga website ng walang limitasyong pag-access sa GPU ng host system, na binabanggit ang potensyal para sa mga palihim na pag-atake o kahit na mga lihim na operasyon ng pagmimina ng cryptocurrency nang hindi nalalaman ng user.
Ang pananaliksik ay nag-target ng isang hanay ng mga desktop graphics card mula sa parehong AMD at NVIDIA, na nakakaapekto sa mga browser na sumusuporta sa WebGPU, kabilang ang Chrome, Chromium, Edge, at Firefox Nightly. Sa kabila ng mga abiso sa mga developer ng Mozilla, AMD, NVIDIA, at Chromium, ang AMD lamang ang nagbigay ng tugon, na nagsasabi na hindi sila naniniwala na ang mga mananaliksik ay nagpakita ng pagsasamantala laban sa kanilang mga produkto.
Iminungkahi ng mga mananaliksik na magpatupad ng pahintulot na pop-up na katulad ng para sa mikropono o pag-access sa camera upang mabawasan ang panganib. Gayunpaman, ang pangkat ng Chromium ay nagpahayag ng mga pagpapareserba, na binanggit ang potensyal para sa pagdaragdag ng alitan ng user nang walang katumbas na mga benepisyo sa seguridad.
Binibigyang-diin ng paghahayag na ito ang kritikal na pangangailangan para sa mga proactive na hakbang upang ma-secure ang pag-access ng GPU sa loob ng mga browser, dahil ang hindi pagtugon sa kahinaang ito ay maaaring maglantad sa mga user sa isang hanay ng mga malisyosong aktibidad, mula sa pagnanakaw ng data hanggang sa tago na pagmimina ng cryptocurrency.