Tim istraživača s različitih sveučilišta Amerikanci, Izraelci i Australci razvio je tri napada usmjerena na web preglednike koji omogućuju izdvajanje podataka o sadržaju predmemorije procesora. Metoda radi u preglednicima bez JavaScripat i druga dva zaobilaze postojeće metode zaštite od napada putem kanala nezavisnih proizvođača, uključujući one koji se koriste u pregledniku Tor i DeterFoxu.
Za analizu sadržaja predmemorije u svi napadi koriste metodu "Prime + Probe"Da uključuje punjenje predmemorije skupom referentnih vrijednosti i određivanje promjena mjerenjem vremena pristupa njima kad se napune. Kako bi se zaobišli sigurnosni mehanizmi prisutni u preglednicima, koji sprječavaju točno mjerenje vremena, u dvije verzije poziva se kontrolirani napadački DNS ili WebSocket poslužitelj koji vodi evidenciju o vremenu primanja zahtjeva. U jednoj izvedbi, fiksno vrijeme odgovora DNS-a koristi se kao vremenska referenca.
Mjerenja izvršena na vanjskim DNS poslužiteljima ili WebSocketu, zahvaljujući upotrebi sustava klasifikacije koji se temelji na strojnom učenju, bila su dovoljna za predviđanje vrijednosti s točnošću od 98% u najoptimalnijem scenariju (u prosjeku 80-90%). Metode napada testirane su na različitim hardverskim platformama (Intel, AMD Ryzen, Apple M1, Samsung Exynos) i pokazale su se svestranima.
Prva varijanta DNS Racing napada koristi klasičnu provedbu metode Prime + Probe pomoću JavaScript nizova. Razlike se svode na upotrebu vanjskog DNS-tempirača i obrađivača pogrešaka koji se aktivira prilikom pokušaja učitavanja slike s nepostojeće domene. Vanjsko odbrojavanje omogućuje napadaje Prime + Probe u preglednicima koji ograničavaju ili u potpunosti onemogućuju pristup JavaScript odbrojavanju.
Za DNS poslužitelj hostiran na istoj Ethernet mreži, procjenjuje se da je preciznost timera oko 2 ms, što je dovoljno za provođenje napada bočnog kanala (za usporedbu: preciznost standardnog JavaScript timera u pregledniku Tor ima smanjena na 100ms). Za napad nije potrebna kontrola nad DNS poslužiteljemjer je vrijeme izvođenja operacije odabrano tako da vrijeme odgovora DNS-a služi kao signal za prijevremeni završetak provjere (ovisno o tome je li obrađivač pogrešaka pokrenut ranije ili kasnije). , zaključeno je da je operacija provjere s predmemorijom dovršena) ...
Drugi napad "String and Sock" osmišljen je da zaobiđe sigurnosne tehnike koji ograničavaju upotrebu JavaScript nizova niske razine. Umjesto nizova, String and Sock koristi vrlo velike nizove, čija je veličina odabrana tako da varijabla pokriva cijelu predmemoriju LLC-a (predmemorija najviše razine).
Dalje, pomoću funkcije indexOf (), u nizu se pretražuje mali podniz koji u početku nedostaje u izvornom nizu, odnosno operacija pretraživanja rezultira iteracijom kroz cijeli niz. Budući da veličina linije odgovara veličini LLC predmemorije, skeniranje omogućuje izvođenje operacije provjere predmemorije bez manipuliranja nizovima. Za mjerenje kašnjenja, umjesto DNS-a, ovo je apel napadačkom WebSocket poslužitelju koji kontrolira napadač: prije početka i nakon završetka operacije pretraživanja, zahtjevi se šalju u lancu,
Treća verzija napada "CSS PP0" kroz HTML i CSS, a može raditi u preglednicima s onemogućenim JavaScriptom. Ova metoda izgleda kao "Niz i čarapa", ali nije vezana uz JavaScript. Napad generira skup CSS selektora koji pretražuju po maski. Izvrsna originalna linija koja ispunjava predmemoriju postavlja se stvaranjem div oznake s vrlo velikim nazivom klase in u kojem se nalazi niz drugih div-ova sa svojim identifikatorima.
Svaka od ti su ugniježđeni div stilovi oblikovani selektorom koji traži podniz. Prilikom prikazivanja stranice, preglednik prvo pokušava obraditi unutarnji div, što rezultira pretraživanjem velikog niza. Pretraživanje se vrši pomoću očito nedostajuće maske i dovodi do iteracije cijelog niza, nakon čega se pokreće uvjet 'ne' i pokušava se učitati pozadinska slika.