Екип от изследователи от различни университети Американци, израелци и австралийци разработи три атаки, насочени към уеб браузъри, които позволяват извличане на информация за съдържанието на кеша на процесора. Метод работи в браузъри без JavaScript и другите два заобикалят съществуващите методи за защита срещу атаки чрез канали на трети страни, включително тези, използвани в браузъра Tor и DeterFox.
За да анализирате съдържанието на кеша в всички атаки използват метода "Prime + Probe"Че включва попълване на кеша с набор от референтни стойности и определяне на промените чрез измерване на времето за достъп към тях при презареждане. За да се заобиколят механизмите за сигурност, налични в браузърите, които предотвратяват точното измерване на времето, в две версии се използва контролиран атакуващ DNS или WebSocket сървър, който води запис на времето на получаване на заявките. В едно изпълнение, фиксираното време за реакция на DNS се използва като референтно време.
Измерванията, направени с помощта на външни DNS сървъри или WebSocket, благодарение на използването на система за класификация, базирана на машинно обучение, бяха достатъчни за прогнозиране на стойности с точност 98% в най-оптималния сценарий (средно 80-90%). Методите за атака са тествани на различни хардуерни платформи (Intel, AMD Ryzen, Apple M1, Samsung Exynos) и са се доказали като универсални.
Първият вариант на DNS Racing атака използва класическо изпълнение на метода Prime + Probe с помощта на JavaScript масиви. Разликите се свеждат до използването на външен DNS-базиран таймер и манипулатор на грешки, който се задейства при опит за зареждане на изображение от несъществуващ домейн. Външният таймер позволява атаки Prime + Probe в браузъри, които ограничават или напълно деактивират достъпа до таймера на JavaScript.
За DNS сървър, хостван в същата Ethernet мрежа, точността на таймера се оценява на около 2 ms, което е достатъчно за извършване на атака на страничен канал (за сравнение: точността на стандартния JavaScript таймер в браузъра Tor има е намалена до 100ms). За атаката не се изисква контрол върху DNS сървъратъй като времето за изпълнение на операцията е избрано, така че времето за реакция на DNS да служи като сигнал за ранно завършване на проверката (в зависимост от това дали манипулаторът на грешки е бил задействан по-рано или по-късно). , заключава се, че операцията за проверка с кеша е завършена) ...
Втората атака "String and Sock" е предназначена да заобиколи техниките за сигурност които ограничават използването на JavaScript масиви от ниско ниво. Вместо масиви, String and Sock използва много големи низови операции, чийто размер е избран така, че променливата да обхваща целия кеш на LLC (кеш от най-високо ниво).
След това, използвайки функцията indexOf (), в низа се търси малък подниз, който първоначално липсва в оригиналния низ, т.е. операцията за търсене води до итерация за целия низ. Тъй като размерът на реда съответства на размера на LLC кеша, сканирането позволява да се извърши операция за проверка на кеша, без да се манипулират масиви. За измерване на закъснения, вместо DNS, това е апел към атакуващ WebSocket сървър, контролиран от нападателя: преди началото и след края на операцията за търсене, заявките се изпращат във веригата,
Третата версия на атаката "CSS PP0" чрез HTML и CSS и може да работи в браузъри с деактивиран JavaScript. Този метод изглежда като "String and Sock", но не е свързан с JavaScript. Атаката генерира набор от CSS селектори, които търсят по маска. Страхотната оригинална линия, която запълва кеша се задава чрез създаване на таг div с много голямо име на клас иn, който вътре има набор от други div със собствени идентификатори.
Всеки един от тези вложени div са стилизирани с селектор, който търси поднизове. Когато рендира страницата, браузърът първо се опитва да обработи вътрешния div, което води до търсене в голям низ. Търсенето се извършва с очевидно липсваща маска и води до итерация на целия низ, след което се задейства условието „не“ и се прави опит за зареждане на фоновото изображение.