إذا تم استغلالها ، يمكن أن تسمح هذه العيوب للمهاجمين بالوصول غير المصرح به إلى المعلومات الحساسة أو التسبب بشكل عام في حدوث مشكلات
وقبل أيام قليلة، صدرت معلومات من قبل مجموعة من الباحثين من جامعات أمريكية مختلفة، والتي طورت تقنية هجوم قناة جانبية جديدة الذي أطلقوا عليه اسم «GPU.zip» والذي يسمح لك بشكل أساسي بإعادة إنشاء المعلومات المرئية التي تمت معالجتها على وحدة معالجة الرسومات.
في المعلومات المشتركة، يشار إلى ذلك وباستخدام الطريقة المقترحة، يمكن للمهاجم تحديد المعلومات المعروضة على الشاشة. من بين أمور أخرى، يمكن تنفيذ الهجوم من خلال متصفح الويب، مما يوضح، على سبيل المثال، كيف يمكن لصفحة ويب ضارة مفتوحة في Chrome الحصول على معلومات حول وحدات البكسل المعروضة عند عرض صفحة ويب أخرى مفتوحة في نفس المتصفح.
يذكر أنه بالرغم من ذلك الطريقة بطيئة جدًا في هجمات إثبات المفهوم، الباحثون أسماء المستخدمين المستخرجة عن بعد من جلسات متصفح Chrome في غضون 30 دقائق فقط معالجة الضغط على وحدات معالجة الرسوميات AMD Ryzen. ويحذرون من أن GPU.zip قد يسمح للمتسللين بسرقة كلمات المرور أو رسائل البريد الإلكتروني أو البيانات الخاصة الأخرى بصمت من عدد لا يحصى من المستخدمين المطمئنين.
على سبيل المثال، في نظام مزود بوحدة معالجة الرسومات AMD Ryzen 7 4800U المدمجة، استغرق الهجوم لتحديد الاسم الذي قام المستخدم بتسجيل الدخول به إلى Wikipedia في علامة تبويب أخرى 30 دقيقة وسمح بتحديد محتوى البكسل بدقة 97٪. وفي الأنظمة التي تحتوي على وحدة معالجة الرسوميات Intel i7-8700 المدمجة، استغرق الهجوم المماثل 215 دقيقة بدقة بلغت 98%.
مصدر تسرب المعلومات هو التحسين المستخدم في وحدات معالجة الرسومات الحديثة التي توفر ضغط البيانات الرسومية. تحدث المشكلة عند استخدام الضغط على كافة وحدات معالجة الرسومات المدمجة التي تم اختبارها (AMD، Apple، ARM، Intel، Qualcomm) وبطاقات الرسومات المنفصلة NVIDIA. وفي الوقت نفسه، اكتشف الباحثون ذلك تعمل وحدات معالجة الرسوميات Intel وAMD المدمجة دائمًا على تمكين ضغط البيانات الرسوميةs، حتى لو لم يطلب التطبيق على وجه التحديد استخدام هذا التحسين. يؤدي استخدام الضغط إلى ربط حركة مرور DRAM وتحميل ذاكرة التخزين المؤقت بطبيعة البيانات التي تتم معالجتها، والتي يمكن إعادة بنائها بالبكسل باستخدام تحليل القناة الجانبية.
عند أداء ملف الهجوم من خلال متصفح، يقوم الموقع المستهدف بالتكرار عبر iframe لبدء عملية التمثيل. لتحديد المعلومات التي يتم عرضها، يتم تحويل مخرجات iframe إلى تمثيل بالأبيض والأسود، والذي يتم تطبيق مرشح SVG عليه، والذي يقوم بإجراء تراكب متسلسل للأقنعة التي تقدم ولا تقدم الكثير من التكرار أثناء الضغط. استناداً إلى تقييم التغييرات في وقت رسم العينات المرجعية، يتم تسليط الضوء على وجود بكسلات داكنة أو فاتحة في موضع معين. تتم إعادة بناء الصورة الإجمالية عن طريق الفحص المتسلسل لكل بكسل على حدة باستخدام أقنعة مماثلة.
فيما يتعلق بمتصفحات الويب الضعيفة، يُذكر ذلك Chrome ضعيف لأنه يسمح لك بتحميل إطار iframe من موقع آخر دون حذف ملف تعريف الارتباط، ويسمح لك بتطبيق مرشحات SVG على إطار iframe، ويفوض العرض إلى وحدة معالجة الرسومات.
من جانبها، لا يتأثر Firefox وSafari بسبب الضعف لأنهم لا يستوفون هذه المعايير. ولا ينطبق الهجوم أيضًا على المواقع التي تحظر التضمين عبر iframe في مواقع أخرى.
أما بالنسبة لل يذكر المصنعون أنه تم تنبيههم حول نقاط الضعف في مارس 2023. ولكن بعد ستة أشهر، لم يتم إصدار أي تصحيح، مما يترك المستخدمين حول العالم عرضة للهجمات المحتملة.
وعلى هذا النحو، فإن الهجوم موضع شك من الناحية العملية في ظل ظروف غير مثالية والمسألة ذات أهمية نظرية أكثر، بالإضافة إلى أن جوجل لم تقرر بعد ما إذا كانت ستمنع الهجوم على مستوى متصفح كروم.
أخيرا إذا كنت أنامهتم بمعرفة المزيد عنها، يمكنك التحقق من التفاصيل في الرابط التالي.