Nota: il seguente articolo ti aiuterà con: Tutte le principali GPU sono vulnerabili agli attacchi multiorigine: ricerca
Le unità di elaborazione grafica (GPU) di quasi tutti i principali produttori sono vulnerabili agli attacchi multiorigine, esponendo potenzialmente i dati dell’utente a siti Web dannosi.
Ricercatori di sicurezza dell’Università del Texas ad Austin, della Carnegie Mellon University, dell’Università di Washington e dell’Università Urbana-Champaign dell’Illinois hanno dettagliato l’attacco. Presenteranno inoltre un documento intitolato “GPU.zip: On the Side-Channel Implications of Hardware-Based Graphical Data Compression” al 45° IEEE Symposium on Security and Privacy, tenutosi a San Franciso dal 20 al 23 maggio 2024.
L’attacco multiorigine, o GPU.zip, consente ai siti Web dannosi di leggere dati visivi sensibili visualizzati da altri siti Web, inclusi nomi utente e password. Questa violazione dei principi di sicurezza viola la politica della stessa origine, una salvaguardia fondamentale di Internet, che impone l’isolamento dei contenuti da diversi domini di siti web.
GPU.zip sfrutta le tecniche di compressione dei dati utilizzate dalle GPU interne e discrete per migliorare le prestazioni. Sfruttando questa compressione come canale secondario, gli aggressori possono rubare singoli pixel e visualizzare i contenuti di un sito web preso di mira. Per eseguire l’attacco con successo è necessario caricare una pagina Web dannosa nei browser Chrome o Edge, poiché le differenze nel comportamento di Firefox e Safari impediscono l’attacco. Inoltre, la pagina Web di destinazione non deve negare l’incorporamento multiorigine.
“Abbiamo scoperto che le moderne GPU tentano automaticamente di comprimere questi dati visivi senza alcun coinvolgimento dell’applicazione”, ha detto ad Ars Technica il ricercatore capo Yingchen Wang. Questo viene fatto per risparmiare larghezza di banda della memoria e migliorare le prestazioni. Poiché la comprimibilità dipende dai dati, questa ottimizzazione crea un canale laterale che un utente malintenzionato può sfruttare per rivelare informazioni sui dati visivi”.
Sebbene questi attacchi che coinvolgono iframe all’interno di siti Web dannosi siano noti da tempo, non tutti i siti Web implementano intestazioni di sicurezza come X-Frame-Options o Content-Security-Policy per limitare l’incorporamento multiorigine. Alcuni siti importanti, come Wikipedia, mostrano i nomi utente anche se incorporati negli iframe, esponendo potenzialmente le informazioni dell’utente.
I ricercatori dietro GPU.zip hanno dimostrato la sua efficacia sulle GPU dei principali produttori, tra cui Apple, Intel, AMD, Qualcomm, Arm e Nvidia. La velocità e la precisione dell’attacco variavano in base all’hardware utilizzato, ma indicavano che i metodi di compressione proprietari utilizzati dai produttori di GPU presentano una vulnerabilità che potrebbe essere sfruttata. I ricercatori hanno discusso l’applicabilità dell’attacco alle GPU integrate e discrete, sottolineandone le potenziali implicazioni.
L’attacco multiorigine GPU.zip può causare la fuga di dati degli utenti su siti Web dannosi.“Gli header ampiamente adottati possono impedire l’incorporamento dei siti, il che impedisce questo attacco, e i siti che utilizzano il comportamento predefinito dei cookie SameSite=Lax ricevono una significativa mitigazione contro la fuga di dati personalizzati. Queste protezioni, insieme alla difficoltà e al tempo necessari per sfruttare questo comportamento, mitigano in modo significativo la minaccia per gli utenti comuni. Siamo in comunicazione e stiamo collaborando attivamente con i ricercatori che segnalano il problema”, ha affermato un rappresentante di Google.
D’altra parte, Intel ha attribuito il problema al software di terze parti. Il produttore di chip “ha valutato i risultati dei ricercatori e ha stabilito che la causa principale non è nelle nostre GPU ma nel software di terze parti”.
“Il problema non rientra nel nostro modello di minaccia in quanto influisce più direttamente sul browser e può essere risolto dall’applicazione browser se giustificato, quindi al momento non sono previste modifiche”, ha affermato Qualcomm.
Sebbene la minaccia immediata rappresentata da GPU.zip appaia bassa, la ricerca evidenzia la necessità di una progettazione hardware e software sicura. I principali sviluppatori di browser come Google e Microsoft stanno valutando la possibilità di mitigare questo problema, ma gli utenti dovrebbero anche prestare attenzione quando visitano siti Web che potrebbero non avere intestazioni di sicurezza.
I ricercatori sostengono che tali vulnerabilità potrebbero estendersi oltre il furto di pixel e richiedono una rivalutazione dell’hardware come fonte di fiducia, sottolineando l’importanza di solide misure di sicurezza in un panorama digitale in continua evoluzione.
Il gruppo ransomware Ransomed.vc prende di mira Sony per violazione dei dati
