Tim istraživača sa različitih univerziteta Amerikanci, Izraelci i Australci je razvio tri napada usmjerena na web preglednike koji omogućavaju izdvajanje podataka o sadržaju predmemorije procesora. Metoda radi u preglednicima bez JavaScripat i druga dva zaobilaze postojeće metode zaštite od napada putem nezavisnih kanala, uključujući one koji se koriste u pregledniku Tor i DeterFoxu.
Za analizu sadržaja predmemorije u svi napadi koriste metodu "Prime + Probe"que uključuje punjenje predmemorije skupom referentnih vrijednosti i određivanje promjena mjerenjem vremena pristupa njima kad se napune. Kako bi se zaobišli sigurnosni mehanizmi prisutni u preglednicima, koji sprečavaju tačno mjerenje vremena, u dvije verzije poziva se kontrolirani napadački DNS ili WebSocket server koji vodi evidenciju o vremenu primanja zahtjeva. U jednoj izvedbi, fiksno vrijeme odgovora DNS-a koristi se kao vremenska referenca.
Merenja izvršena pomoću spoljnih DNS servera ili WebSocket-a, zahvaljujući upotrebi sistema klasifikacije zasnovanog na mašinskom učenju, bila su dovoljna za predviđanje vrednosti sa tačnošću od 98% u najoptimalnijem scenariju (u proseku 80-90%). Metode napada testirane su na različitim hardverskim platformama (Intel, AMD Ryzen, Apple M1, Samsung Exynos) i pokazale su se svestranim.
Prva varijanta DNS Racing napada koristi klasičnu implementaciju Prime + Probe metode koristeći JavaScript nizove. Razlike se svode na upotrebu vanjskog DNS-baziranog tajmera i obrađivača pogrešaka koji se aktivira prilikom pokušaja učitavanja slike s nepostojeće domene. Vanjski tajmer dopušta Prime + Probe napade u preglednicima koji ograničavaju ili u potpunosti onemogućuju pristup JavaScript tajmeru.
Za DNS poslužitelj hostiran na istoj Ethernet mreži, preciznost tajmera procjenjuje se na oko 2 ms, što je dovoljno za izvođenje napada bočnog kanala (za usporedbu: preciznost standardnog JavaScript tajmera u Tor pregledniku ima svedena na 100ms). Za napad nije potrebna kontrola nad DNS serverom, budući da je vrijeme izvršenja operacije odabrano tako da vrijeme odgovora DNS-a služi kao signal za rano dovršavanje provjere (ovisno o tome je li obrađivač pogrešaka pokrenut ranije ili kasnije). , zaključeno je da je operacija provjere s predmemorijom dovršena) ...
Drugi napad "String and Sock" osmišljen je da zaobiđe sigurnosne tehnike koji ograničavaju upotrebu JavaScript nizova niskog nivoa. Umjesto nizova, String and Sock koristi operacije na vrlo velikim žicama, čija je veličina odabrana tako da varijabla pokriva cijelu LLC predmemoriju (predmemorija najvišeg nivoa).
Dalje, pomoću funkcije indexOf (), u nizu se pretražuje mali podniz koji u početku nedostaje u izvornom nizu, odnosno operacija pretraživanja rezultira iteracijom kroz čitav niz. Budući da veličina linije odgovara veličini LLC predmemorije, skeniranje omogućava provođenje operacije provjere predmemorije bez manipulacije nizovima. Za mjerenje kašnjenja, umjesto DNS-a, ovo je apel napadačkom WebSocket serveru koji kontrolira napadač: prije početka i nakon završetka operacije pretraživanja, zahtjevi se šalju u lancu,
Treća verzija napada "CSS PP0" putem HTML-a i CSS-a, a može raditi u preglednicima s onemogućenim JavaScriptom. Ova metoda izgleda kao "Niz i čarapa", ali nije vezana za JavaScript. Napad generira skup CSS selektora koji pretražuju po maski. Izvrsna originalna linija koja ispunjava predmemoriju postavlja se stvaranjem div oznake s vrlo velikim imenom klase in u kojoj se nalazi skup drugih div-ova sa svojim identifikatorima.
Svaka od ovi ugniježđeni div-ovi su oblikovani selektorom koji traži podniz. Prilikom prikazivanja stranice, pregledač prvo pokušava obraditi unutarnji div, što rezultira pretraživanjem velikog niza. Pretraga se vrši pomoću očito nedostajuće maske i dovodi do iteracije cijelog niza, nakon čega se pokreće uvjet "ne" i pokušava se učitati pozadinska slika.