さまざまな大学の研究者チーム アメリカ人、イスラエル人、オーストラリア人 プロセッサキャッシュのコンテンツに関する情報の抽出を可能にするWebブラウザを標的としたXNUMXつの攻撃を開発しました。 方法 JavaScripのないブラウザで動作しますtと他のXNUMXつは、TorブラウザやDeterFoxで使用されているものを含め、サードパーティのチャネルを介した攻撃に対する既存の保護方法をバイパスします。
キャッシュの内容を分析するには すべての攻撃は「プライム+プローブ」方式を使用しますその キャッシュに一連の参照値を入力し、アクセス時間を測定して変更を決定する必要があります 充電すると彼らに。 正確な時間測定を妨げるブラウザに存在するセキュリティメカニズムをバイパスするために、XNUMXつのバージョンでは、要求の受信時刻の記録を保持する、制御された攻撃DNSまたはWebSocketサーバーが呼び出されます。 一実施形態では、固定DNS応答時間は、時間基準として使用される。
機械学習に基づく分類システムを使用したおかげで、外部DNSサーバーまたはWebSocketを使用して行われた測定は、最適なシナリオで98%の精度(平均80〜90%)で値を予測するのに十分でした。 攻撃方法は、さまざまなハードウェアプラットフォーム(Intel、AMD Ryzen、Apple M1、Samsung Exynos)でテストされており、用途が広いことが証明されています。
DNSレーシング攻撃の最初の亜種 Prime + Probeメソッドの従来の実装を使用します JavaScript配列を使用します。 違いは、外部DNSベースのタイマーと、存在しないドメインから画像を読み込もうとしたときに発生するエラーハンドラーの使用にあります。 外部タイマーは、JavaScriptタイマーアクセスを制限または完全に無効にするブラウザでのPrime + Probe攻撃を許可します。
同じイーサネットネットワークでホストされているDNSサーバーの場合、タイマーの精度は約2ミリ秒と推定されます。これは、サイドチャネル攻撃を実行するのに十分です(比較のために:Torブラウザーの標準JavaScriptタイマーの精度は100msに短縮されました)。 攻撃の場合、DNSサーバーを制御する必要はありませんDNS応答時間が検証の早期完了のシグナルとして機能するように操作の実行時間が選択されるため(エラーハンドラーが早くトリガーされたか後でトリガーされたかによって異なります)。 、キャッシュを使用した検証操作が完了したと結論付けられます)..。
XNUMX番目の「StringandSock」攻撃は、セキュリティ技術を回避するように設計されています 低レベルのJavaScript配列の使用を制限します。 配列の代わりに、String and Sockは非常に大きな文字列操作を使用します。そのサイズは、変数がLLCキャッシュ全体(最上位キャッシュ)をカバーするように選択されます。
次に、indexOf()関数を使用して、文字列内で小さな部分文字列が検索されます。これは、元の文字列には最初は存在しません。つまり、検索操作により、文字列全体が繰り返されます。 ラインのサイズはLLCキャッシュのサイズに対応しているため、スキャンにより、アレイを操作せずにキャッシュ検証操作を実行できます。 DNSの代わりに遅延を測定するために、これは攻撃者によって制御されている攻撃側のWebSocketサーバーへのアピールです。検索操作の開始前と終了後に、リクエストはチェーン内で送信されます。
HTMLとCSSを介した攻撃「CSSPP0」のXNUMX番目のバージョンで、JavaScriptが無効になっているブラウザで機能します。。 このメソッドは「StringandSock」のように見えますが、JavaScriptにバインドされていません。 攻撃により、マスクで検索する一連のCSSセレクターが生成されます。 キャッシュを埋める素晴らしいオリジナルライン divタグを作成することで設定されます 非常に大きなクラス名で、n内部には、独自の識別子を持つ他のdivのセットがあります。
のそれぞれ これらのネストされたdivは、部分文字列を検索するセレクターでスタイル設定されます。 ページをレンダリングするとき、ブラウザは最初に内部divの処理を試みます。その結果、大きな文字列が検索されます。 検索は明らかに欠落しているマスクを使用して実行され、文字列全体が繰り返されます。その後、「no」条件がトリガーされ、背景画像の読み込みが試行されます。