Foi encontrada uma vulnerabilidade nos gráficos da AMD, NVIDIA, Apple e outros que permite que alguns sites roubem dados de outros

Pesquisadores americanos descobriram uma vulnerabilidade nos processadores gráficos da Apple, Intel, AMD, Qualcomm, Arm e NVIDIA, devido à qual sites com códigos maliciosos podem roubar dados de outros sites – podem ser logins, senhas e quaisquer outras informações confidenciais exibidas.

Fonte da imagem: nvidia.com

O tipo de ataque baseado na vulnerabilidade descoberta é denominado GPU.zip – ele permite usar recursos da GPU para roubar dados de sites cujas páginas são inseridas por meio de elementos iframe em outros recursos maliciosos. Os pesquisadores descobriram que a compactação de dados, que é controlada por placas gráficas integradas e discretas para melhorar o desempenho, pode ser um canal secundário para roubo de informações pixel por pixel.

As GPUs modernas tentam compactar automaticamente esses dados visuais sem a participação do software que opera nesses dados – isso é feito para economizar recursos de memória e melhorar o desempenho. Vale ressaltar que o ataque funciona nos navegadores Chrome ou Edge, mas não funciona no Firefox e Safari. Como vítima condicional, os pesquisadores utilizaram o site Wikipedia, cujo código foi incorporado por meio de um iframe na página de seu próprio recurso. O ataque funcionou em GPUs da Apple, Intel, AMD, Qualcomm, Arm e NVIDIA. No caso do AMD Ryzen 7 4800U, demorou cerca de 30 minutos para renderizar os pixels alvo com 97% de precisão. No caso do Intel Core i7-8700, o tempo aumentou para 215 minutos.

Diferença entre dados originais e restaurados. Fonte da imagem: hertzbleed.com

Todas as GPUs usam seus próprios métodos de compactação de dados ao gerar conteúdo – eles não estão documentados, mas os cientistas conseguiram usar engenharia reversa em cada caso. Para fazer isso, eles usaram o formato gráfico vetorial SVG e capturaram as diferenças entre pixels pretos e brancos no tráfego DRAM. O trabalho descreve um método para roubar dados através de gráficos integrados, mas um método semelhante também é implementado através de gráficos discretos.

Para realizar um ataque em um navegador, três condições devem ser atendidas:

É permitido carregar iframes com cookies;

Permitida renderização de filtros SVG em iframes;

A renderização é feita pela GPU.

Em resposta à solicitação, um representante do Google afirmou que um webmaster pode proteger seus recursos contra ataques usando os cabeçalhos HTTP X-Frame-Options e Content Security Policy. Além disso, o ataque é tecnicamente bastante difícil de implementar e leva muito tempo, o que reduz a magnitude da ameaça para usuários comuns. Intel e Qualcomm afirmaram que a vulnerabilidade associada ao GPU.zip não se aplica a processadores gráficos, mas a software de terceiros, por isso as empresas não vão tomar nenhuma medida. Apple, NVIDIA, AMD e Arm não comentaram.

O ataque GPU.zip pode de fato não representar uma ameaça significativa para o usuário médio, mas, como observaram os pesquisadores que o descobriram, pode formar a base para outras explorações mais perigosas. Além disso, aponta mais uma vez que a otimização de hardware pode criar canais secundários de roubo de dados que não podem ser mitigados por software.