Vulnerabilidade em navegadores permite ataques via placa de vídeo

Em uma era em que a navegação na web se tornou cada vez mais sofisticada, aproveitar o poder das unidades de processamento gráfico (GPUs) junto às tradicionais unidades de processamento central (CPUs) se tornou comum. No entanto, essa união de tecnologias recentemente revelou uma vulnerabilidade de segurança significativa, expondo os usuários a possíveis violações de privacidade e roubo de dados.

Pesquisadores do Instituto de Processamento de Informações Aplicadas e Comunicações da Universidade de Tecnologia de Graz (TU Graz), na Áustria, revelaram descobertas alarmantes sobre a exploração dessa vulnerabilidade. Através de sua investigação, eles descobriram que códigos JavaScript maliciosos poderiam explorar a GPU por meio de interfaces como WebGL e o emergente padrão WebGPU.

navegadores
(Imagem: Miha Creative / Shutterstock.com)

Riscos revelados

Três ataques distintos foram demonstrados pela equipe de pesquisa, todos os quais mostraram o potencial para acesso não autorizado a informações sensíveis em computadores-alvo. Esses ataques, que operavam sem problemas durante a navegação na internet, permitiam a extração de dados, teclas pressionadas e chaves de criptografia de usuários desavisados.

Lukas Giner, pesquisador da TU Graz, enfatizou a urgência para os fabricantes de navegadores abordarem este problema crítico.

Nossos ataques não exigem que os usuários interajam com um site e são executados em um período de tempo que permite que sejam realizados durante a navegação normal na internet. Com nosso trabalho, queremos apontar claramente aos fabricantes de navegadores que eles precisam lidar com o acesso à GPU da mesma forma que lidam com outros recursos que afetam a segurança e a privacidade.

Lukas Giner, pesquisador da TU Graz

Os experimentos da equipe de pesquisa abrangeram uma variedade de sistemas equipados com diferentes placas de vídeo, incluindo séries NVIDIA GTX 1000 e séries RTX 2000, 3000 e 4000, além de placas AMD RX 6000. A amplitude de sua investigação destaca a universalidade da vulnerabilidade em diversas configurações de hardware.

Memória cache e Criptografia AES

  • Central para o sucesso dos ataques foi a exploração da memória cache do computador por meio da interface WebGPU.
  • Ao rastrear meticulosamente as mudanças na cache, os pesquisadores puderam discernir valiosas meta-informações, incluindo teclas pressionadas e padrões de criptografia.
  • Além disso, eles alavancaram a segmentação de cache para estabelecer um canal de comunicação oculto, permitindo a transmissão de dados sensíveis a velocidades de até 10,9 kilobytes por segundo.
  • De particular preocupação foi a demonstração de um ataque direcionado à criptografia AES, uma pedra angular da segurança digital.
  • Ao infiltrar a cache com sua própria criptografia AES, os pesquisadores conseguiram identificar os componentes do sistema responsáveis pela criptografia e acessar chaves de criptografia — uma violação potencialmente catastrófica da segurança para sistemas-alvo.

Olhando para o futuro

Embora os ataques demonstrados tenham sido conduzidos em condições controladas, os pesquisadores reconhecem os desafios potenciais de executá-los em cenários do mundo real. No entanto, eles comunicaram suas descobertas aos fabricantes de navegadores e estão esperançosos de que essas vulnerabilidades sejam abordadas no desenvolvimento contínuo do WebGPU.

Olhar Digital