一個重大安全漏洞影響大多數顯示卡。透過利用名為 GPU.zip 的漏洞,駭客可以竊取有關網路使用者的敏感資訊,例如識別碼。儘管存在風險,製造商尚未計劃部署補丁...
來自四所美國大學的研究人員發現市場上大多數顯示卡有嚴重的安全漏洞。突破口,標題為GPU.zip,影響 AMD、Apple、Arm、Intel 和 Qualcomm 的 GPU。
據專家稱,因此您設備中的卡很可能確實受到了影響。絕大多數筆記型電腦、智慧型手機、平板電腦和桌上型電腦可能都會受到影響。
透過 GPU 竊取數據
透過利用此漏洞,攻擊者可以竊取私人和敏感訊息,例如使用者名稱和密碼,在使用者不知情的情況下。然後,該數據可用於透過模擬用戶登入線上帳戶或服務。
具體來說,該漏洞允許訪問“顯示卡處理的視覺資料”。然後,惡意網站可以挖掘這些數據,並重建收集到的所有像素,以奪取敏感資訊關於另一個網站。在這種情況下,這涉及身份數據。
為了證明他們的發現,大學研究人員透過網頁瀏覽器進行了攻擊谷歌瀏覽器。透過利用 GPU.zip,他們能夠竊取屬於網站的像素形式的資料。那麼數據就是一次重建一個像素。透過利用該缺陷,攻擊者實際上規避了電腦安全的一項主要原則,該原則要求這些資料被隔離,以免受可能的駭客的攻擊。
資料壓縮問題
根據研究人員的報告,該漏洞涉及目前顯示卡上非常常見的機制,“圖形資料壓縮”。該系統包括壓縮數據與使用 GPU 運算能力的圖形或成像相關。圖形資料(例如影像或影片)變得更小且更易於管理。
該系統提高了性能……同時為盜版者打開了大門。確實,這個優化“創造一個可以被攻擊者利用的側通道”。透過瀏覽器,可以洩漏經過 GPU 壓縮的資料。這項發現背後的研究人員解釋:
“如果登入維基百科的用戶訪問惡意網頁,該網頁可以利用 GPU.zip 來發現維基百科上的用戶名稱”。
所需的糾正
美國專家表示,他們已於 2023 年 3 月向 AMD、蘋果、Arm、英特爾、英偉達、高通和谷歌發出警告。沒有公司願意部署補丁。最重要的是,儘管有警告,但沒有製造商承諾解決該問題。只有谷歌似乎猶豫不決,據說「仍在決定」GPU.zip 是否值得修復。
「GPU 供應商基本上拒絕採取行動;有人說支渠不是他的責任,”可惜的是專門針對 GPU.zip 的網站上的專家。
幸運的是,研究人員指出真正的威脅是相對最小。事實上,大多數網站都不容易受到此類攻擊。儘管如此,“有些網站仍然容易受到攻擊”,報告警告說。此外,非常受歡迎的瀏覽器,例如邊緣和 Chrome 也受到影響。這就是為什麼他們強烈鼓勵製造商盡快部署修復程序。
來源 : GPU.zip
