Twórcy stron internetowych mają nowy powód, aby zbudować zabezpieczenia przed osadzaniem z różnych źródeł, ponieważ właśnie ujawniony exploit kompresji GPU może potencjalnie wykorzystywać ramki iframe między witrynami do kradzieży poufnych informacji. Użytkownicy powinni dokładnie rozważyć, jakie witryny odwiedzają po zalogowaniu się do podstawowych usług.
GPU wszystkich dużych producentów z luką w zabezpieczeniach
Badacze odkryli, że GPU wszystkich głównych producentów mają tę samą lukę, która może pozwolić atakującym ukraść nazwy użytkownika i hasła wyświetlane na stronach internetowych. Producenci kart graficznych i producenci oprogramowania są świadomi problemu od miesięcy, ale jak na razie nie zareagowali na tę sytuację i być może zrobią to teraz, kiedy o sprawie zrobiło się głośno.
GPU wszystkich głównych producentów mają tę samą lukę, która może pozwolić atakującym ukraść nazwy użytkownika i hasła wyświetlane na stronach internetowych.
Exploit wpływa na przeglądarki internetowe Chrome i Edge, ale nie na Firefox i Safari. Jeśli chodzi o hardware, podatne są zarówno zintegrowane, jak i samodzielne karty graficzne od AMD, Intela, NVIDII, Apple, Arm i Qualcomm.
Badacze opracowali atak weryfikujący koncepcję, nazwany GPU.zip, podczas którego złośliwa strona internetowa zawiera osadzone ramki iframe prowadzące do innych witryn, do których mógł zalogować się użytkownik. Jeśli ta ostatnia strona umożliwia ładowanie ramek iframe pochodzących z różnych źródeł za pomocą plików cookie i renderuje filtry SVG w ramkach iframe przy użyciu GPU, złośliwa witryna może ukraść i zdekodować wyświetlane piksele. Jeśli użytkownik jest zalogowany na niezabezpieczonej stronie, na której wyświetlana jest jego nazwa użytkownika, hasło lub inne istotne informacje, stają się one widoczne dla atakujących.
Uwaga na Wikipedię
Na szczęście większość stron internetowych obsługujących wrażliwe dane zabrania osadzania z innych źródeł, w związku z czym luka nie ma zastosowania w ich przypadku. Wikipedia jest jednak największym wyjątkiem, dlatego redaktorzy powinni zachować szczególną ostrożność podczas przeglądania innych stron po zalogowaniu do tego serwisu.
Problem wynika z kompresji GPU, która poprawia wydajność, ale może powodować wyciek danych. Twórcy zabezpieczeń zwykle nie mają z tym problemu, ponieważ kompresja jest tradycyjnie widoczna dla oprogramowania i wykorzystuje publicznie dostępne algorytmy. Jednak nowe badanie pokazuje, że można wykorzystać schematy kompresji niewidoczne dla oprogramowania, będące własnością każdego dostawcy. Ponieważ producenci układów graficznych ukrywają informacje na temat tej kompresji, grupom ds. bezpieczeństwa trudniej jest obejść ten problem.
Jak reagują firmy?
Google uważa, że istniejące środki ostrożności stosowane przez twórców stron internetowych są wystarczające, aby zaradzić temu problemowi i nie przedstawiło planów rozwiązania problemu w swoim ekosystemie. Intel i Qualcomm potwierdziły, że nie podejmą żadnych działań, twierdząc, że problemem jest oprogramowanie innych firm. NVIDIA, AMD, Apple i Arm nie zareagowały jeszcze na te doniesienia. Nikt nie potwierdził aktywnego wykorzystania luki w środowisku naturalnym, zatem ma ona obecnie niski priorytet.
