Pesquisadores descobriram uma nova vulnerabilidade de canal lateral, chamada GPU.zip, afetando unidades de processamento gráfico (GPUs) dos principais fornecedores, incluindo AMD, Apple, Arm, Intel, Nvidia e Qualcomm. Esta vulnerabilidade expõe dados visuais processados na GPU, permitindo que uma página mal-intencionada vaze pixels de outra página, violando assim o modelo de segurança do navegador.
O artigo de pesquisa, intitulado “GPU.zip: On the Side-Channel Implications of Hardware-Based Graphical Data Compression”, será apresentado no 45º Simpósio IEEE sobre Segurança e Privacidade em maio de 2024.
Explorando a compactação de dados gráficos
GPU.zip explora uma otimização presente em quase todas as GPUs modernas: compactação gráfica de dados. Esse recurso foi projetado para economizar largura de banda de memória e melhorar o desempenho sem exigir envolvimento de software. A vulnerabilidade é particularmente preocupante porque é transparente para software e dependente de dados. Os pesquisadores demonstraram que, por meio do GPU.zip, informações confidenciais do usuário, como o nome de usuário da Wikipédia, podem ser comprometidas quando um usuário conectado à Wikipédia visita uma página da web maliciosa.
Resposta de fornecedores e navegadores
Ao descobrir a vulnerabilidade, os pesquisadores divulgaram suas descobertas e código de prova de conceito para fornecedores de GPU e Google em março de 2023. Em setembro de 2023, nem os fornecedores de GPU nem o Google se comprometeram a lançar patches. Curiosamente, a vulnerabilidade afeta principalmente o Google Chrome, pois atende a critérios específicos que o tornam suscetível ao ataque de roubo de pixels demonstrado no artigo. Outros navegadores como Firefox e Safari não atendem a esses critérios e, portanto, não são vulneráveis.
Impacto e mitigação do usuário
Para a maioria dos usuários, o risco imediato é relativamente baixo, uma vez que muitos sítios Web sensíveis já impedem a sua incorporação em sítios Web de origem cruzada. No entanto, alguns sites permanecem vulneráveis e os utilizadores são aconselhados a serem cautelosos. Os desenvolvedores de sites que exibem informações confidenciais do usuário são incentivados a configurar seus sites para negar a incorporação de sites de origem cruzada para proteger seus usuários. Os pesquisadores forneceram mais informações e orientações em seu site oficial e no código-fonte da GPU. zip está disponível no GitHub.
“Provavelmente, sim. Testamos GPUs integradas da AMD, Apple, Arm, Intel e Qualcomm e uma GPU discreta da Nvidia. Temos pelo menos resultados preliminares para mostrar que todas as GPUs testadas foram afetadas”, afirmaram os pesquisadores sobre o impacto generalizado da vulnerabilidade. Eles explicaram ainda que”a compactação de dados gráficos da GPU é um recurso das GPUs modernas usadas para economizar largura de banda de memória e melhorar o desempenho sem qualquer envolvimento de software.”