Команда дослідників з різних університетів Американці, ізраїльтяни та австралійці розробив три атаки, націлені на веб-браузери, які дозволяють отримувати інформацію про вміст кеша процесора. Метод працює в браузерах без JavaScript та інші два обходять існуючі методи захисту від атак через сторонні канали, включаючи ті, що використовуються у браузері Tor та DeterFox.
Для аналізу вмісту кешу в усі атаки використовують метод "Prime + Probe"Що передбачає заповнення кешу набором опорних значень та визначення змін шляхом вимірювання часу доступу їм при зарядці. Для того, щоб обійти механізми безпеки, присутні в браузерах, які перешкоджають точному вимірюванню часу, у двох версіях використовується контрольований атакуючий DNS або WebSocket-сервер, який веде запис часу отримання запитів. В одному варіанті здійснення фіксований час відгуку DNS використовується як еталон часу.
Вимірювань, проведених із використанням зовнішніх DNS-серверів або WebSocket, завдяки використанню системи класифікації, заснованої на машинному навчанні, було достатньо для прогнозування значень з точністю 98% за найбільш оптимального сценарію (в середньому 80-90%). Методи атак протестовані на різних апаратних платформах (Intel, AMD Ryzen, Apple M1, Samsung Exynos) і виявились універсальними.
Перший варіант атаки DNS Racing використовує класичну реалізацію методу Prime + Probe з використанням масивів JavaScript. Відмінності полягають у використанні зовнішнього DNS-таймера та обробника помилок, який спрацьовує при спробі завантажити зображення з неіснуючого домену. Зовнішній таймер дозволяє атакувати Prime + Probe у браузерах, які обмежують або повністю відключають доступ до таймера JavaScript.
Для DNS-сервера, розміщеного в тій же мережі Ethernet, точність таймера оцінюється приблизно в 2 мс, що достатньо для здійснення атаки бічного каналу (для порівняння: точність стандартного таймера JavaScript у браузері Tor має було зменшено до 100 мс). Для атаки не потрібен контроль над DNS-сервером, оскільки час виконання операції підібраний таким чином, що час відгуку DNS служить сигналом про дострокове завершення перевірки (залежно від того, чи був обробник помилок запускався раніше чи пізніше). , зроблено висновок, що операція перевірки з кешем завершена) ...
Друга атака "String and Sock" призначена для обходу техніки безпеки які обмежують використання масивів JavaScript низького рівня. Замість масивів String and Sock використовує операції над дуже великими рядками, розмір яких вибирається таким чином, щоб змінна охоплювала весь кеш LLC (кеш верхнього рівня).
Далі, за допомогою функції indexOf (), у рядку здійснюється пошук невеликої підрядка, яка спочатку відсутня у вихідному рядку, тобто операція пошуку призводить до ітерації по всьому рядку. Оскільки розмір рядка відповідає розміру кешу LLC, сканування дозволяє виконувати операцію перевірки кешу без маніпуляцій з масивами. Для вимірювання затримок, замість DNS, це звернення до атакуючого сервера WebSocket, керованого зловмисником: перед початком та після закінчення пошукової операції запити надсилаються в ланцюжку,
Третя версія атаки "CSS PP0" через HTML і CSS, і може працювати в браузерах з відключеним JavaScript. Цей метод виглядає як "String and Sock", але не прив'язаний до JavaScript. Атака генерує набір селекторів CSS, які здійснюють пошук за маскою. Чудова оригінальна лінія, яка заповнює кеш встановлюється шляхом створення тегу div з дуже великою назвою класу, іn, всередині яких є набір інших div зі своїми ідентифікаторами.
Кожен з ці вкладені div-стилі стилізовані за допомогою селектора, який шукає підрядок. Під час рендерингу сторінки браузер спочатку намагається обробити внутрішній div, що призводить до пошуку за великим рядком. Пошук виконується з використанням очевидно відсутньої маски і призводить до ітерації всього рядка, після чого спрацьовує умова "ні" і робиться спроба завантажити фонове зображення.