A yeni yan kanal güvenlik açığı Tüm GPU satıcılarını etkileyen bu durum, özel bilgilerin kullanıcının izni olmadan kötü amaçlı web sitelerine iletilmesine neden olabilir. Araştırmaya göre Austin’deki Texas Üniversitesi’nden gelen yeni güvenlik açığının, kullanıcı adları, parolalar ve diğer öğeler gibi özel, hassas bilgilerin kurtarılmasına olanak sağladığı ortaya çıktı. Güvenlik açığının kapsamı o kadar ciddi ki, kötü amaçlı web sitelerinin başka bir web sitesinin GPU tarafından oluşturulan piksel oluşturmasını (ve buna erişmek için kullanılan kimlik bilgilerini) yeniden yapılandırmasına izin veriyor. Araştırmacılar, saldırıdan kaynaklanan genel tehdidin düşük olduğunu ancak şirketlerin donanım ve yazılımdaki sorunu hafifletmek için çalışmasının önemli olduğunu söylüyor.
Saldırı, Apple, Intel, AMD, Qualcomm, Arm ve Nvidia tarafından sağlanan GPU’lar üzerinde çalışıyor. Bu sayede, dünya çapındaki ağın aynı köken politikası olarak bilinen, alan adları ve içerikleri arasında tam izolasyonu zorunlu kılan temel siber güvenlik ilkesi ihlal edilebilir.
Güvenlik açığının kendisi, GPU’ların hareket halindeki ve depolanan verilerin kapladığı alanı azaltmasına olanak tanıyan bir teknik olan GPU veri sıkıştırmasını araştırıyor. Sıkıştırma veriye bağlı olduğundan (sıkıştırılmış verinin, orijinalin boyutunu “katlayan” ancak yine de açıkça onunla ilişkili olan ve geri “açılabilen” matematiksel bir temsil olduğu anlamına gelir) sıkıştırma, orijinal bilginin toplanmasını engellemez. GPU veri sıkıştırması olduğunda, sistemin DRAM’i ve önbellekleri içindeki trafik, orijinal verilerin doğrudan bir uzantısıdır ve belirli bilgi parçalarının kurtarılmasına olanak tanır.
Aslında ilgilenilen orijinal veriler (şifreler, kullanıcı adları ve saldırgan için değerli kabul edilen diğer öğeler) her seferinde bir piksel olarak yeniden oluşturulabilir.
GPU-zip adı verilen saldırı, sayfalarının içine, harici web sitelerinden içerik yerleştirilmesine izin veren bir HTML öğesi olan iFrame kapsayıcısının altına bir bağlantı yerleştiren kötü amaçlı bir web sitesi gerektirir. Ek olarak, iFrame’de bağlantısı verilen sayfanın, yerleştirmeyi reddedmeyecek şekilde özel olarak yapılandırılması ve GPU’nun bunu oluşturmaktan sorumlu donanım olması gerekir (çünkü bunlar %99 oranında gerçekleşir). Belirli tarayıcı dağıtımlarının farklı çalışma şekilleri nedeniyle, tüm tarayıcılar bu GPU güvenlik açığından yararlanılabilir hale getirmez: Edge ve Chrome şu anda bu güvenlik açığına karşı savunmasızdır ancak Safari ve Firefox değildir (bu bize sorunun güvenlik açığından kaynaklandığını bilmemizi sağlar). Chromium’un kendisi değil mi ve bir dereceye kadar tarayıcı sağlayıcıları tarafından düzeltilebilir olmalıdır).
Austin’deki Texas Üniversitesi’nden baş yazar ve araştırmacı Yingchen Wang, Ars’a yazdığı bir e-postada “Modern GPU’ların herhangi bir uygulama müdahalesi olmadan bu görsel verileri otomatik olarak sıkıştırmaya çalıştığını gördük” dedi. “Bu, bellek bant genişliğinden tasarruf etmek ve performansı artırmak için yapılıyor. Sıkıştırılabilirlik verilere bağlı olduğundan bu optimizasyon, bir saldırganın görsel verilerle ilgili bilgileri açığa çıkarmak için kullanabileceği bir yan kanal oluşturur.”
Araştırmacılara göre sorun, GPU satıcılarının hepsinin işleme performansını artırmak için bazı GPU tabanlı veri sıkıştırma algoritmaları içermesidir. Ancak bu sıkıştırma algoritmaları tescillidir ve kamusal alanda büyük ölçüde belgelenmemiştir.
İyi siber güvenlik uygulamalarını takip eden araştırmacılar, bulgularını Mart 2023 gibi erken bir tarihte GPU satıcılarına (ve Google’a) özel olarak açıkladılar. Makalede şöyle yazıyor: “GPU satıcıları büyük ölçüde harekete geçmeyi reddetti; biri yan kanalın kendi tehdit modellerinin dışında olduğunu söyledi, diğeri ise hafifletmek yazılımın sorumluluğundaydı. Ağustos 2023 itibarıyla Apple ve Google hâlâ hafifletip hafifletmeyeceğine ve nasıl hafifleteceğine karar veriyordu.” Yazılım ve donanım karmaşıklığı genelinde siber güvenlik tepkilerini koordine etmenin zorluğu göz önüne alındığında, döngünün tam olarak nasıl kapandığını bekleyip görmemiz gerekecek.