Tým vědců z různých univerzit Američané, Izraelci a Australané vyvinul tři útoky zaměřené na webové prohlížeče, které umožňují extrakci informací o obsahu mezipaměti procesoru. Metoda funguje v prohlížečích bez JavaScript a další dva obcházejí existující metody ochrany před útoky prostřednictvím kanálů třetích stran, včetně těch, které se používají v prohlížeči Tor a DeterFox.
Analyzovat obsah mezipaměti v všechny útoky používají metodu „Prime + Probe“Že zahrnuje vyplnění mezipaměti sadou referenčních hodnot a určení změn měřením doby přístupu nabíjení. Aby bylo možné obejít bezpečnostní mechanismy přítomné v prohlížečích, které zabraňují přesnému měření času, je ve dvou verzích povolán kontrolovaný útočící server DNS nebo WebSocket, který uchovává záznam o době přijetí požadavků. V jednom provedení se jako časová reference používá pevná doba odezvy DNS.
Měření prováděná pomocí externích serverů DNS nebo WebSocket byla díky použití klasifikačního systému založeného na strojovém učení dostatečná k předpovědi hodnot s přesností 98% v nejoptimálnějším scénáři (v průměru 80–90%). Metody útoku byly testovány na různých hardwarových platformách (Intel, AMD Ryzen, Apple M1, Samsung Exynos) a ukázaly se jako univerzální.
První varianta útoku DNS Racing používá klasickou implementaci metody Prime + Probe pomocí polí JavaScriptu. Rozdíly spočívají v použití externího časovače založeného na DNS a obslužné rutiny chyb, která se spustí při pokusu o načtení obrázku z neexistující domény. Externí časovač umožňuje útoky Prime + Probe v prohlížečích, které omezují nebo úplně zakazují přístup časovače JavaScript.
U serveru DNS hostovaného ve stejné síti Ethernet se přesnost časovače odhaduje na přibližně 2 ms, což je dostatečné pro provedení útoku postranním kanálem (pro srovnání: přesnost standardního časovače JavaScript v prohlížeči Tor má byla snížena na 100 ms). U útoku není nutná žádná kontrola nad serverem DNS, protože je zvolen čas provedení operace, takže čas odezvy DNS slouží jako signál předčasného dokončení ověření (v závislosti na tom, zda byl obslužný program chyby spuštěn dříve nebo později). , došlo se k závěru, že ověřovací operace s mezipamětí je dokončena) ...
Druhý útok „String and Sock“ je navržen tak, aby obcházel bezpečnostní techniky které omezují použití nízkoúrovňových polí JavaScriptu. Místo polí String a Sock používá operace na velmi velkých řetězcích, jejichž velikost je zvolena tak, aby proměnná pokrývala celou mezipaměť LLC (mezipaměť nejvyšší úrovně).
Dále pomocí funkce indexOf () se v řetězci hledá malý podřetězec, který původně chybí v původním řetězci, to znamená, že operace hledání vede k iteraci celého řetězce. Vzhledem k tomu, že velikost řádku odpovídá velikosti mezipaměti LLC, umožňuje skenování provést operaci kontroly mezipaměti bez manipulace s poli. Chcete-li měřit zpoždění, namísto DNS se jedná o odvolání k útočícímu serveru WebSocket ovládanému útočníkem: před začátkem a po skončení operace vyhledávání jsou v řetězci odeslány požadavky,
Třetí verze útoku "CSS PP0" prostřednictvím HTML a CSS, a může fungovat v prohlížečích s deaktivovaným JavaScriptem. Tato metoda vypadá jako „String and Sock“, ale není vázána na JavaScript. Útok generuje sadu selektorů CSS, které vyhledávají podle masky. Skvělý originální řádek, který vyplňuje mezipaměť se nastaví vytvořením značky div s velmi velkým názvem třídy an který uvnitř obsahuje sadu dalších divů s vlastními identifikátory.
Každý z tyto vnořené divy mají styl selektoru, který hledá podřetězec. Při vykreslování stránky se prohlížeč nejprve pokusí zpracovat vnitřní divy, což má za následek hledání na velkém řetězci. Hledání se provádí pomocí zjevně chybějící masky a vede k iteraci celého řetězce, po které se aktivuje podmínka „ne“ a pokus o načtení obrázku na pozadí.