Tutkijaryhmä eri yliopistoista Amerikkalaiset, israelilaiset ja australialaiset on kehittänyt kolme verkkoselaimiin kohdistettua hyökkäystä, jotka mahdollistavat tietojen keräämisen prosessorin välimuistin sisällöstä. Menetelmä toimii selaimissa ilman JavaScripiät ja kaksi muuta ohittavat olemassa olevat suojausmenetelmät hyökkäyksiä vastaan kolmansien osapuolten kanavien kautta, mukaan lukien Tor-selaimessa ja DeterFoxissa käytettävät.
Välimuistin sisällön analysointi kaikki hyökkäykset käyttävät "Prime + Probe" -menetelmääEttä Sisältää välimuistin täyttämisen joukolla viitearvoja ja muutosten määrittämisen mittaamalla pääsyajan heille ladattuna. Selainten tietoturvamekanismien ohittamiseksi, jotka estävät tarkan ajanmittauksen, kutsutaan kahdessa versiossa ohjattua hyökkäävää DNS- tai WebSocket-palvelinta, joka pitää kirjaa pyyntöjen vastaanottamisajasta. Yhdessä suoritusmuodossa kiinteää DNS-vasteaikaa käytetään aikaviitteenä.
Ulkoisilla DNS-palvelimilla tai WebSocketilla tehdyt mittaukset koneoppimiseen perustuvan luokitusjärjestelmän käytön ansiosta olivat riittäviä ennustamaan arvoja 98%: n tarkkuudella optimaalisimmassa skenaariossa (keskimäärin 80-90%). Hyökkäysmenetelmät on testattu eri laitteistoalustoilla (Intel, AMD Ryzen, Apple M1, Samsung Exynos), ja ne ovat osoittautuneet monipuolisiksi.
Ensimmäinen versio DNS Racing -hyökkäyksestä käyttää klassista Prime + Probe -menetelmän toteutusta käyttämällä JavaScript-taulukoita. Erot johtuvat ulkoisen DNS-pohjaisen ajastimen ja virheenkäsittelijän käytöstä, joka käynnistyy yritettäessä ladata kuvaa olemattomasta toimialueesta. Ulkoinen ajastin sallii Prime + Probe -hyökkäykset selaimissa, jotka rajoittavat tai estävät JavaScript-ajastimen käytön kokonaan.
Samassa Ethernet-verkossa isännöidyn DNS-palvelimen osalta ajastimen tarkkuuden arvioidaan olevan noin 2 ms, mikä riittää sivukanavan hyökkäyksen suorittamiseen (vertailun vuoksi: Tor-selaimen tavallisen JavaScript-ajastimen tarkkuus on 100 ms). Hyökkäystä varten ei tarvita DNS-palvelimen hallintaa, koska operaation suoritusaika on valittu siten, että DNS-vasteaika toimii signaalina tarkistuksen varhaisesta loppuun saattamisesta (riippuen siitä, laukaisiko virhekäsittelijä aikaisemmin vai myöhemmin). , todetaan, että välimuistin varmentaminen on valmis) ...
Toinen String and Sock -hyökkäys on suunniteltu ohittamaan tietoturvatekniikat jotka rajoittavat matalan tason JavaScript-matriisien käyttöä. Matriisien sijaan String ja Sock käyttävät operaatioita erittäin suurilla merkkijonoilla, joiden koko valitaan siten, että muuttuja peittää koko LLC-välimuistin (ylätason välimuisti).
Seuraavaksi, käyttämällä indexOf () -toimintoa, merkkijonosta etsitään pieni alimerkkijono, joka puuttuu alun perin alkuperäisestä merkkijonosta, toisin sanoen hakutoiminto johtaa iteraatioon koko merkkijonossa. Koska rivin koko vastaa LLC-välimuistin kokoa, skannaus mahdollistaa välimuistin tarkistustoiminnon suorittamisen ilman taulukoiden manipulointia. Viiveiden mittaamiseksi DNS: n sijaan tämä on vetoomus hyökkääjän hallitsemaan hyökkäävään WebSocket-palvelimeen: ennen hakutoiminnon alkua ja sen jälkeen pyynnöt lähetetään ketjussa,
Hyökkäyksen kolmas versio "CSS PP0" HTML: n ja CSS: n kautta, ja se voi toimia selaimissa, joissa JavaScript on poistettu käytöstä. Tämä menetelmä näyttää "String and Sock", mutta ei ole sidottu JavaScriptiin. Hyökkäys luo joukon CSS-valitsimia, jotka hakevat maskin perusteella. Suuri alkuperäinen rivi, joka täyttää välimuistin asetetaan luomalla div-tagi erittäin suurella luokan nimellä, jan, jonka sisällä on joukko muita div-yksiköitä, joilla on omat tunnisteet.
Jokainen nämä sisäkkäiset divit on muotoiltu valitsimella, joka etsii alimerkkijonoa. Sivua hahmoteltaessa selain yrittää ensin käsitellä sisäisiä diveja, mikä johtaa etsimiseen suurella merkkijonolla. Etsintä tapahtuu ilmeisesti puuttuvasta maskista ja johtaa koko merkkijonon iterointiin, jonka jälkeen "ei" -ehto laukaistaan ja taustakuvaa yritetään ladata.