پیکسل دزدی! حفره امنیتی جدید در GPU ها

یک نشت امنیتی جدید کشف شده است که طی آن یکی از اساسی ترین مرزهای امنیتی حفاظت از اینترنت نقض می شود. این بار نگرانی در خصوص فاش شدن اطلاعات در ارتباط با GPU ها می باشد.

یینگچن وانگ، نویسنده محقق دانشگاه تگزاس در آستین، در ایمیلی نوشت: «ما دریافتیم که پردازنده‌های گرافیکی مدرن به‌طور خودکار سعی می‌کنند این داده‌های بصری را بدون دخالت برنامه‌ای فشرده کننداین بهینه‌سازی یک کانال جانبی ایجاد می‌کند که می‌تواند توسط مهاجم برای افشای اطلاعات در مورد داده‌های بصری مورد سوء استفاده قرار گیرد.

🔴شما می توانید برای دریافت پاسخ سوال های خود از طریق تلفن های ثابت با شماره 9099071540 و از طریق موبایل با شماره  0217129 با کارشناسان رایانه کمک در ارتباط باشید.

فهرست

✅حفره امنیتی جدید در GPU ها

✅نحوه پیکسل دزدی با حمله GPU.zip

✅حمله GPU.zip  چه زمانی کار می کند؟

✅واکنش کمپانی اینتل در خصوص تحقیقات پیکسل دزدی با حملات GPU.zip

✅سخن آخر

حفره امنیتی جدید در GPU ها

در مقاله‌ای که اخیراً توسط محققان منتشر شده است  تآکید بر این موضوع شده است که پردازنده‌های گرافیکی (هر شش تامین‌کننده اصلی) در برابر حمله‌ای که به تازگی کشف شده است آسیب‌پذیر هستند تا جایی که وب سایت های مخرب قادر خواهند بود اطلاعات اساسی و مهم مانند نام‌های کاربری، رمز عبور و سایر داده‌های بصری حساس نمایش‌داده‌شده توسط وب‌سایت‌های دیگر را با دقت 97 درصد بخوانند و به طبع از این اطلاعات سوءاستفاده کنند.

تصور کنید حمله ای از یک دامنه -مثلا liiink.com- باعث می شود تا پیکسل های نمایش داده شده توسط یک وب سایت را از liiink.org به طور موثر خوانده شود. بدین ترتیب مهاجمان می توانند اقدامی کنند که کلمات یا تصاویر نمایش داده شده توسط سایت دوم را مشاهده کنندکه در نتیجه منجر به فاش شدن اطلاعات و تبعات بعدی آن خواهد شد.

نحوه پیکسل دزدی با حمله GPU.zip

محققان دریافتند که فشرده‌سازی داده‌ها که هم پردازنده‌های گرافیکی داخلی و هم گسسته برای بهبود عملکرد استفاده می‌کنند، به‌عنوان یک کانال جانبی عمل می‌کند که می‌توانند از آن برای دور زدن محدودیت‌ها سوء استفاده کنند و پیکسل‌ها را یکی یکی بدزدند.

یک حمله اثبات مفهومی به نام GPU.zip نشان داد که فشرده سازی داده که برای بهبود عملکرد استفاده می شود می تواند به عنوان یک کانال جانبی عمل کند و به مهاجم اجازه می دهد یک iframe را در یک صفحه مخرب قرار دهد و سپس پیکسل های نمایش داده شده در صفحه دیگر را با دقت 97 درصد بخواند. .

حمله GPU.zip  چه زمانی کار می کند؟

GPU.zip زمانی کار می کند که وب سایت مهاجم مخرب در Chrome یا Edge بارگیری شود.

1. اگر اجازه دهید iframe های متقاطع با کوکی ها بارگیری شوند

2. اگر اجاز دهید رندر کردن فیلترهای SVG در iframe انجام شود

3.در شرایطی که وظایف رندرینگ را به GPU محول کنید

واکنش گوگل به حفره امنیتی جدید در GPU ها

یکی از نمایندگان گوگل در بیانیه ای اعلام کرد: «موضوع حفره امنیتی در GPU ها

یک تحقیق تأثیرگذار در مورد نحوه عملکرد سخت افزار محسوب می شود و توجه به این مورد باعث می شود تا از حمله به سایت ها و فاش شدن اطلاعات جلوگیری شود، و سایت هایی که از رفتار کوکی پیش فرض SameSite=Lax استفاده می کنند، کاهش قابل توجهی در برابر افشای داده های شخصی دریافت می کنند. این حفاظت ها، همراه با دشواری و زمان مورد نیاز برای سوء استفاده از این رفتار، به طور قابل توجهی تهدید برای کاربران روزمره را کاهش می دهد. به هر حال ما در کمپانی گوگل به طور فعال با محققان گزارشگر در تعامل هستیم و همیشه به دنبال بهبود بیشتر محافظت برای کاربران Chrome هستیم."

واکنش کمپانی اینتل در خصوص تحقیقات پیکسل دزدی با حملات GPU.zip

در همین حال، یکی از نمایندگان اینتل گفت که سازنده تراشه "یافته های محقق ارائه شده را ارزیابی کرده و علت اصلی را نه در پردازنده های گرافیکی ما بلکه در نرم افزارهای شخص ثالث" بررسی کرده است. یکی از نمایندگان کوالکام گفت: "مشکل در مدل تهدید ما نیست زیرا مستقیماً بر مرورگر تأثیر می گذارد و در صورت لزوم می تواند توسط برنامه مرورگر حل شود، بنابراین در حال حاضر هیچ تغییری برنامه ریزی نشده است." اپل، انویدیا، AMD و ARM در مورد این یافته ها اظهار نظری نکردند.

سخن آخر

در این مقاله  اخبار منتشر شده در خصوص  پیکسل دزدی! حفره امنیتی جدید در GPU ها پرداختیم و این موضوع و واکنش کمپانی های بزرگ را بررسی کردیم.

 اگر سوال و مشکلی در زمینه داشتید کافی با همکارای ما در مجموعه رایانه کمک تماس بگیرید. راه های تماس با ما شماره هوشمند9099071540 که از طریق تلفن های ثابت و همچنین شماره اعتباری0217129 از طریق موبایل یا تلفن ثابت با ما در ارتباط باشید.