一个重大安全漏洞影响大多数显卡。通过利用名为 GPU.zip 的漏洞,黑客可以窃取有关互联网用户的敏感信息,例如标识符。尽管存在风险,制造商尚未计划部署补丁......
来自四所美国大学的研究人员发现市场上大多数显卡存在严重的安全漏洞。突破口,标题为GPU.zip,影响 AMD、Apple、Arm、Intel 和 Qualcomm 的 GPU。
据专家称,因此您设备中的卡很可能确实受到了影响。绝大多数笔记本电脑、智能手机、平板电脑和台式电脑可能都会受到影响。
通过 GPU 窃取数据
通过利用此漏洞,攻击者可以窃取私人和敏感信息,例如用户名和密码,在用户不知情的情况下。然后,该数据可用于通过模拟用户登录在线帐户或服务。
具体来说,该漏洞允许访问“显卡处理的视觉数据”。然后,恶意网站可以挖掘这些数据,并重建收集到的所有像素,以夺取敏感信息关于另一个网站。在这种情况下,这涉及身份数据。
为了证明他们的发现,大学研究人员通过网络浏览器进行了攻击谷歌浏览器。通过利用 GPU.zip,他们能够窃取属于网站的像素形式的数据。那么数据就是一次重建一个像素。通过利用该缺陷,攻击者实际上规避了计算机安全的一项主要原则,该原则要求这些数据被隔离,以免受可能的黑客的攻击。
数据压缩问题
根据研究人员的报告,该漏洞涉及当前显卡上非常常见的机制,“图形数据压缩”。该系统包括压缩数据与使用 GPU 计算能力的图形或成像相关。图形数据(例如图像或视频)变得更小并且更易于管理。
该系统提高了性能……同时为盗版者打开了大门。确实,这个优化“创建一个可以被攻击者利用的侧通道”。通过浏览器,可以泄露经过 GPU 压缩的数据。这一发现背后的研究人员解释说:
“如果登录维基百科的用户访问恶意网页,该网页可以利用 GPU.zip 来发现维基百科上的用户名称”。
所需的纠正
美国专家表示,他们已于 2023 年 3 月向 AMD、苹果、Arm、英特尔、英伟达、高通和谷歌发出警告。几个月后,事实证明没有公司愿意部署补丁。最重要的是,尽管有警告,但没有制造商承诺解决该问题。只有谷歌似乎犹豫不决,据说“仍在决定”GPU.zip 是否值得修复。
“GPU 供应商基本上拒绝采取行动;有人说支渠不是他的责任,”遗憾的是专门针对 GPU.zip 的网站上的专家。
幸运的是,研究人员指出真正的威胁是相对最小。事实上,大多数网站都不容易受到此类攻击。尽管如此,“一些网站仍然容易受到攻击”,报告警告说。此外,非常流行的浏览器,例如边缘和 Chrome 也受到影响。这就是为什么他们强烈鼓励制造商尽快部署修复程序。
来源 : GPU.zip