Pasukan penyelidik dari pelbagai universiti Amerika, Israel dan Australia telah mengembangkan tiga serangan yang menyasarkan penyemak imbas web yang membolehkan pengekstrakan maklumat mengenai kandungan cache pemproses. Kaedah berfungsi dalam penyemak imbas tanpa JavaScript dan dua kaedah perlindungan lain yang ada terhadap serangan melalui saluran pihak ketiga, termasuk yang digunakan dalam penyemak imbas Tor dan DeterFox.
Untuk menganalisis kandungan cache di semua serangan menggunakan kaedah "Prime + Probe"Itu melibatkan mengisi cache dengan sekumpulan nilai rujukan dan menentukan perubahan dengan mengukur masa akses kepada mereka apabila dicas semula. Untuk memintas mekanisme keselamatan yang terdapat pada penyemak imbas, yang mencegah pengukuran waktu yang tepat, dalam dua versi dipanggil DNS penyerang terkawal atau pelayan WebSocket, yang menyimpan catatan waktu penerimaan permintaan. Dalam satu perwujudan, masa tindak balas DNS tetap digunakan sebagai rujukan waktu.
Pengukuran yang dibuat menggunakan pelayan DNS luaran atau WebSocket, berkat penggunaan sistem klasifikasi berdasarkan pembelajaran mesin, cukup untuk meramalkan nilai dengan ketepatan 98% dalam senario yang paling optimum (rata-rata 80-90%). Kaedah serangan telah diuji pada pelbagai platform perkakasan (Intel, AMD Ryzen, Apple M1, Samsung Exynos) dan terbukti serba boleh.
Varian pertama serangan DNS Racing menggunakan pelaksanaan klasik kaedah Prime + Probe menggunakan tatasusunan JavaScript. Perbezaannya disebabkan penggunaan pemasa berasaskan DNS luaran dan pengendali ralat yang muncul ketika cuba memuatkan gambar dari domain yang tidak ada. Pemasa luaran membolehkan serangan Prime + Probe dalam penyemak imbas yang menyekat atau mematikan sepenuhnya akses pemasa JavaScript.
Untuk pelayan DNS yang dihoskan di rangkaian Ethernet yang sama, ketepatan pemasa dianggarkan sekitar 2 ms, yang cukup untuk melakukan serangan saluran sisi (untuk perbandingan: ketepatan pemasa JavaScript standard dalam penyemak imbas Tor mempunyai dikurangkan menjadi 100ms). Untuk serangan itu, tidak diperlukan kawalan ke atas pelayan DNS, kerana waktu pelaksanaan operasi dipilih sehingga waktu respons DNS berfungsi sebagai isyarat penyelesaian awal pengesahan (bergantung pada apakah pengendali ralat dicetuskan lebih awal atau lebih baru). , disimpulkan bahawa operasi pengesahan dengan cache selesai) ...
Serangan "String and Sock" kedua dirancang untuk memotong teknik keselamatan yang menyekat penggunaan tatasusunan JavaScript peringkat rendah. Daripada tatasusunan, String dan Sock menggunakan operasi pada rentetan yang sangat besar, ukurannya dipilih sehingga pemboleh ubah merangkumi keseluruhan cache LLC (cache tingkat atas).
Seterusnya, menggunakan fungsi indexOf (), substring kecil dicari dalam rentetan, yang pada awalnya tidak ada dalam rentetan asal, iaitu, operasi carian menghasilkan lelaran ke atas keseluruhan rentetan. Oleh kerana ukuran garis sesuai dengan ukuran cache LLC, imbasan membolehkan operasi pemeriksaan cache dilakukan tanpa memanipulasi tatasusunan. Untuk mengukur kelewatan, bukannya DNS, ini adalah tarikan kepada pelayan WebSocket yang diserang yang dikendalikan oleh penyerang: sebelum permulaan dan setelah operasi operasi berakhir, permintaan dihantar dalam rangkaian,
Versi ketiga dari serangan "CSS PP0" melalui HTML dan CSS, dan dapat berfungsi dalam penyemak imbas dengan JavaScript yang dilumpuhkan. Kaedah ini kelihatan seperti "String and Sock" tetapi tidak terikat dengan JavaScript. Serangan itu menghasilkan sekumpulan pemilih CSS yang mencari berdasarkan topeng. Garis asal yang hebat yang mengisi cache ditetapkan dengan membuat tag div dengan nama kelas yang sangat besar, dann yang di dalamnya terdapat sekumpulan div lain dengan pengecam mereka sendiri.
Setiap satu daripada div bersarang ini digayakan dengan pemilih yang mencari substring. Semasa membuat halaman, penyemak imbas terlebih dahulu cuba memproses div dalam, yang menghasilkan pencarian pada rentetan besar. Pencarian dilakukan dengan menggunakan topeng yang jelas hilang dan mengarah pada lelaran keseluruhan rentetan, setelah itu keadaan "tidak" dipicu dan usaha dilakukan untuk memuatkan gambar latar.