远程 GPU 攻击提示浏览器允许网站访问显卡以利用潜在的加密货币挖矿漏洞的风险

奥地利格拉茨理工大学和法国雷恩大学的研究人员揭示了图形处理单元 (GPU) 的一个令人担忧的漏洞，该漏洞可能被用于加密货币挖掘和其他恶意活动。这种新发现的威胁针对流行的浏览器和显卡。

该漏洞以 WebGPU 为中心，WebGPU 是一种 API，允许 Web 开发人员直接在 Web 浏览器中利用计算机的 GPU 来执行高性能任务。通过使用 JavaScript 巧妙地操纵该 API，研究人员展示了一种完全在浏览器内运行的远程攻击向量，无需直接访问本机 GPU API。

这种攻击方法是源自 Web 浏览器的 GPU 缓存旁路攻击的最早实例之一。通过诱使用户访问托管漏洞代码的恶意网站，攻击者可以远程执行漏洞，无需用户交互，只需在网站上停留几分钟即可。

该漏洞的影响是重大的。该攻击可用于击键间计时攻击，可能会泄露敏感信息，例如基于击键计时的密码。此外，它还可以提取基于 GPU 的 AES 加密密钥，并建立具有中等传输速率的隐蔽数据泄露通道。

研究人员强调，浏览器供应商需要像对待其他安全敏感资源一样谨慎对待 GPU 访问。研究人员之一卢卡斯·吉纳 (Lukas Giner) 强调了浏览器允许网站不受限制地访问主机系统 GPU 所带来的风险，指出可能会发生隐秘攻击，甚至在用户不知情的情况下 进行秘密的加密货币挖掘操作。

该研究针对 AMD 和 NVIDIA 的一系列桌面显卡，影响支持 WebGPU 的浏览器，包括 Chrome、Chromium、Edge 和 Firefox Nightly。尽管向 Mozilla、AMD、NVIDIA 和 Chromium 开发人员发出了通知，但只有 AMD 做出了回应，表示他们不相信研究人员已经展示了针对他们产品的漏洞。

研究人员建议实施类似于麦克风或摄像头访问权限的弹出窗口，以降低风险。然而，Chromium 团队对此表示保留，理由是可能会增加用户摩擦，而不会带来相应的安全优势。

这一发现强调了采取主动措施来保护浏览器内 GPU 访问的迫切需要，因为如果未能解决此漏洞，用户可能会面临从数据盗窃到秘密加密货币挖掘等一系列恶意活动。