Amerikaanse onderzoekers hebben een ongebruikelijke manier ontdekt waarmee hackers data kunnen stelen. Door een zogeheten GPU.zip-aanval is gevoelig beeldmateriaal buit te maken vanuit de Chrome-browser. De oorzaak: het comprimeren van data om grafische chips sneller hun werk te laten doen.
Met name geïntegreerde chips van AMD en Intel zijn vatbaar voor de aanval die in een wetenschappelijk paper in detail wordt uitgelegd. Ook producten van Apple, Nvidia, Qualcomm en Google stonden de exploitatie toe in de tests van de onderzoekers. Alle partijen werden in maart gewaarschuwd. Concreet houdt het in dat talloze smartphones, desktops en laptops de kwetsbaarheid bevatten, die nog altijd niet gepatcht is.
Compressie
Het onderzoek betrof enkel iGPU’s, oftewel grafische chips die zich binnen een CPU/SoC bevinden. Smartphones maken hier gebruik van, naast vele laptops en desktops.
Normaliter wordt gevoelige data niet gecomprimeerd op een manier die zichtbaar is voor software, zodat deze gegevens niet door het achterhalen van de compressiemethode kunnen lekken. Echter blijken GPU’s deze compressie alsnog uit te voeren om de prestaties te verhogen. Elke fabrikant voert dit op een andere manier uit die in veel gevallen niet voor ontwikkelaars inzichtelijk is.
Pixeldata stelen
De onderzoekers wisten een manier te ontwikkelen om pixeldata van de Chrome-browser te extraheren en vervolgens terug te lezen. Dit werkte alleen op pagina’s binnen een iFrame-container, een HTML-element om externe websites te kunnen embedden op een andere pagina. Alleen op Chromium-gebaseerde browsers (o.a. Chrome, Edge) is de exploitatie hiervan via GPU’s mogelijk.
De zogeheten side-channel accuracy, oftewel de accuratesse van het eindresultaat ten opzichte van het daadwerkelijke beeld, was bijna altijd ver boven de 90 procent. Kortom: met een GPU.zip-aanval kun je in potentie een momentopname van een inlogscherm bijna intact terugzien. Dit duurde 30 minuten bij een AMD Ryzen-gebaseerd systeem en 215 minuten bij Intel-chips.
Wel stelt het onderzoeksteam dat de aanvalsmethode slechts een proof-of-concept is en niet zomaar “in the wild” plaatsvindt. Normaliter zijn inlogvensters en andere pagina’s die gevoelige gegevens huisvesten, niet zomaar te embedden op een andere pagina. Volgens verschillende GPU-makers is de kwetsbaarheid door software veroorzaakt en dient deze dus niet door hen opgelost te worden. Als gebruiker is de aanvalsmethode dermate complex dat het onwaarschijnlijk is dat men hoeft te vrezen voor een echte aanval op deze manier.
Lees ook: Nederlander ontdekt AMD-kwetsbaarheid om data te lekken in alle Zen-chips
1 dag geleden
