Em uma era onde navegar na web se torna cada vez mais avançado, a combinação do poder das unidades de processamento gráfico (GPUs) com as tradicionais unidades de processamento central (CPUs) é algo comum.
Entretanto, essa integração tecnológica revelou recentemente uma vulnerabilidade de segurança significativa, colocando os usuários em risco de violações de privacidade e roubo de dados.
Pesquisadores do Instituto de Processamento de Informações Aplicadas e Comunicações da Universidade de Tecnologia de Graz (TU Graz), na Áustria, apresentaram descobertas preocupantes sobre a exploração dessa vulnerabilidade.
Em seu estudo, descobriram que códigos JavaScript mal-intencionados podem explorar a GPU através de interfaces como WebGL e o novo padrão WebGPU.
A equipe de pesquisa demonstrou três ataques distintos, todos evidenciando o potencial para acessar sem autorização informações sensíveis em computadores visados.
Estes ataques, que operavam discretamente durante a navegação web, possibilitavam a extração de dados, teclas pressionadas e chaves de criptografia de usuários desatentos.
Lukas Giner, pesquisador da TU Graz, destacou a urgência para que os desenvolvedores de navegadores tratem deste problema crítico.
Os testes conduzidos pela equipe abordaram uma variedade de sistemas, equipados com placas de vídeo variadas, incluindo as séries NVIDIA GTX 1000 e as séries RTX 2000, 3000 e 4000, além das placas AMD RX 6000.
O escopo de sua pesquisa sublinha a universalidade da vulnerabilidade em diferentes configurações de hardware.
Embora os ataques tenham sido realizados em condições controladas, os pesquisadores reconhecem os desafios de executá-los em cenários reais.
Contudo, eles comunicaram suas descobertas aos desenvolvedores de navegadores e estão otimistas quanto à mitigação dessas vulnerabilidades no desenvolvimento futuro do WebGPU.
O sucesso desses ataques dependeu crucialmente da exploração da memória cache do computador pela interface WebGPU.
Ao monitorar minuciosamente as alterações na cache, os pesquisadores puderam identificar informações críticas, como teclas pressionadas e padrões de criptografia.
Ademais, eles utilizaram a segmentação de cache para criar um canal de comunicação secreto, permitindo o envio de dados sensíveis à velocidade de até 10,9 kilobytes por segundo.
Um dos aspectos mais preocupantes foi um ataque que visava a criptografia AES, essencial para a segurança digital.
Infiltrando a cache com criptografia AES própria, os pesquisadores conseguiram identificar componentes do sistema responsáveis pela criptografia e obter acesso a chaves de criptografia — uma possível falha gravíssima na segurança dos sistemas visados.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...