Команда исследователей из разных университетов Американцы, израильтяне и австралийцы разработал три атаки, нацеленные на веб-браузеры, которые позволяют извлекать информацию о содержимом кеш-памяти процессора.. Метод работает в браузерах без JavaScript, а два других обходят существующие методы защиты от атак через сторонние каналы, в том числе используемые в браузере Tor и DeterFox.
Чтобы проанализировать содержимое кеша в все атаки используют метод "Prime + Probe"что включает заполнение кеша набором эталонных значений и определение изменений путем измерения времени доступа им при подзарядке. Чтобы обойти присутствующие в браузерах механизмы безопасности, препятствующие точному измерению времени, в двух версиях вызывается управляемый атакующий сервер DNS или WebSocket, который ведет учет времени получения запросов. В одном варианте осуществления фиксированное время ответа DNS используется в качестве привязки ко времени.
Измерений, выполненных с использованием внешних DNS-серверов или WebSocket, благодаря использованию системы классификации на основе машинного обучения было достаточно для прогнозирования значений с точностью 98% в наиболее оптимальном сценарии (в среднем 80-90%). Методы атаки протестированы на различных аппаратных платформах (Intel, AMD Ryzen, Apple M1, Samsung Exynos) и доказали свою универсальность.
Первый вариант атаки DNS Racing использует классическую реализацию метода Prime + Probe с использованием массивов JavaScript. Различия сводятся к использованию внешнего таймера на основе DNS и обработчика ошибок, который запускается при попытке загрузить изображение из несуществующего домена. Внешний таймер допускает атаки Prime + Probe в браузерах, которые ограничивают или полностью отключают доступ к таймеру JavaScript.
Для DNS-сервера, размещенного в той же сети Ethernet, точность таймера оценивается примерно в 2 мс, что достаточно для проведения атаки по побочному каналу (для сравнения: точность стандартного таймера JavaScript в браузере Tor имеет уменьшено до 100 мс). Для атаки не требуется контроля над DNS-сервером., поскольку время выполнения операции выбирается таким образом, чтобы время ответа DNS служило сигналом о раннем завершении проверки (в зависимости от того, был ли запущен обработчик ошибок раньше или позже). , делается вывод, что операция проверки с кешем завершена) ...
Вторая атака "String and Sock" предназначена для обхода техник безопасности. которые ограничивают использование низкоуровневых массивов JavaScript. Вместо массивов String и Sock используют операции с очень большими строками, размер которых выбирается таким образом, чтобы переменная охватывала весь кэш LLC (кеш верхнего уровня).
Затем с помощью функции indexOf () в строке ищется небольшая подстрока, которая изначально отсутствует в исходной строке, то есть операция поиска приводит к итерации по всей строке. Поскольку размер строки соответствует размеру кэша LLC, сканирование позволяет выполнить операцию проверки кеша без манипуляций с массивами. Для измерения задержек вместо DNS это обращение к атакующему серверу WebSocket, контролируемому злоумышленником: до начала и после окончания поисковой операции запросы отправляются в цепочке,
Третья версия атаки «CSS PP0» через HTML и CSS и может работать в браузерах с отключенным JavaScript.. Этот метод выглядит как «String and Sock», но не привязан к JavaScript. Атака генерирует набор селекторов CSS, выполняющих поиск по маске.. Отличная оригинальная строчка, заполняющая кеш устанавливается путем создания тега div с очень большим именем класса иn, внутри которого есть набор других div со своими идентификаторами.
Каждый из эти вложенные блоки div стилизованы с помощью селектора, который ищет подстроку. При рендеринге страницы браузер сначала пытается обработать внутренние блоки div, что приводит к поиску по большой строке. Поиск выполняется с использованием явно отсутствующей маски и приводит к итерации всей строки, после чего запускается условие «нет» и делается попытка загрузить фоновое изображение.