Нова атака на графічні процесори дозволяє зловмисникам красти дані з інших веб-сайтів

Графічні процесори від AMD, Apple, Arm, Intel, Nvidia та Qualcomm вразливі до нового типу атаки сторонніми каналами, яка дозволяє зловмисникам викрадати конфіденційну інформацію, наприклад, імена користувачів та дані кредитних карток.

Атака, названа GPU.zip, використовує апаратне стиснення графічних даних, щоб отримувати доступ до пікселів з інших веб-сайтів, які відкриті одночасно з шкідливим сайтом.

Дослідники з Техаського університету в Остіні, Університету Карнегі-Меллона, Вашингтонського університету та Університету Іллінойсу в Урбана-Шампейн продемонстрували, як атака може бути використана для викрадення імені користувача з Вікіпедії.

Компанії-виробники графічних процесорів були проінформовані про атаку в березні 2023 року, але наразі жодна з них не випустила патч.

Було продемонстровано, що атака працює на веб-браузері Chrome. Інші широко використовувані браузери, такі як Safari і Firefox, не постраждали. У березні 2023 року компанія Google також була повідомлена про потенційний ризик. Інтернет-гігант все ще вирішує, чи виправляти цю проблему і як саме, зазначають дослідники.

Як працює атака

Атака GPU.zip використовує апаратне стиснення графічних даних, яке використовується в сучасних графічних процесорах для підвищення продуктивності.

Коли користувач відвідує шкідливий веб-сайт, цей сайт може використовувати апаратне стиснення для отримання доступу до пікселів з іншого веб-сайту, який відкритий одночасно з ним.

Зловмисник може використовувати цю інформацію для викрадення конфіденційної інформації.

Веб-сайти, на яких зберігається конфіденційна інформація, зазвичай налаштовані таким чином, щоб запобігти такому типу витоку. Але є деякі популярні сайти, які все ще залишаються вразливими.

Дослідники продемонстрували атаку на Вікіпедію, викрадаючи ім’я користувача, яке відображається у верхньому куті. Однак варто зазначити, що для отримання інформації через GPU.zip-атаку зловмиснику потрібен значний проміжок часу.

У двох експериментах, проведених дослідниками, на отримання імені користувача Вікіпедії пішло 30 хвилин і 215 хвилин.

Тим не менш, розробники повинні переконатися, що їхні веб-сайти не є вразливими. Вони мають налаштувати заборону вбудовування з боку сайтів з перехресним походженням.

Нагадаємо, нещодавнє дослідження Даремського університету у Великій Британії виявило потужну атаку на основі ШІ, яка може розшифровувати введення з клавіатури виключно на основі тонких акустичних сигналів від натискання клавіш.