ከበርካታ የአሜሪካ ዩኒቨርሲቲዎች የተውጣጡ ተመራማሪዎች ቡድን በጂፒዩ ውስጥ የተቀነባበሩ ምስላዊ መረጃዎችን እንደገና እንዲፈጥሩ የሚያስችል አዲስ የጎን ቻናል ማጥቃት ቴክኒክ ፈጥሯል። ጂፒዩ.ዚፕ ተብሎ የሚጠራውን ዘዴ በመጠቀም አጥቂ በማያ ገጹ ላይ የሚታየውን መረጃ ሊወስን ይችላል። ከሌሎች ነገሮች በተጨማሪ ጥቃቱ በድር አሳሽ በኩል ሊደረግ ይችላል ለምሳሌ በ Chrome ውስጥ የተከፈተ ተንኮል አዘል ገፅ እንዴት በተመሳሳይ አሳሽ ውስጥ የተከፈተ ሌላ ድረ-ገጽ ሲሰራ ስለሚታዩት ፒክስሎች መረጃ እንደሚያገኝ ማሳየት።
የመረጃ መፍሰስ ምንጭ በዘመናዊ ጂፒዩዎች ውስጥ ጥቅም ላይ የሚውለው ማመቻቸት ሲሆን ይህም የግራፊክ መረጃን መጨናነቅን ይሰጣል። ችግሩ የሚከሰተው በሁሉም የተቀናጁ ጂፒዩዎች (AMD, Apple, ARM, Intel, Qualcomm) እና የ NVIDIA discrete ግራፊክስ ካርዶች ላይ መጭመቂያ ሲጠቀሙ ነው. በተመሳሳይ ጊዜ ተመራማሪዎቹ ኢንቴል እና ኤ.ዲ.ዲ.ጂፒዩዎች የተቀናጁ የግራፊክስ ዳታ መጭመቅን ሁልጊዜ እንደሚያነቃቁ ደርሰውበታል፣ ምንም እንኳን አፕሊኬሽኑ እንደዚህ አይነት ማመቻቸትን ለመጠቀም ባይጠይቅም። የጨመቅ አጠቃቀም የDRAM ትራፊክ እና የመሸጎጫ ጭነት ከሚሰራው ውሂብ ባህሪ ጋር እንዲዛመድ ያደርገዋል፣ ይህም በጎን ሰርጥ ትንተና ፒክስል-በ-ፒክስል እንደገና ሊገነባ ይችላል።
ዘዴው በጣም ቀርፋፋ ነው፡ ለምሳሌ፡ የተቀናጀ AMD Ryzen 7 4800U GPU ባለው ሲስተም፡ ተጠቃሚው በሌላ ትር ወደ ዊኪፔዲያ የገባበትን ስም ለማወቅ የተደረገ ጥቃት 30 ደቂቃ ፈጅቶ የፒክሰሎቹን ይዘት ለማወቅ አስችሏል። በ 97% ትክክለኛነት. የተቀናጀ ኢንቴል i7-8700 ጂፒዩ ባላቸው ሲስተሞች፣ ተመሳሳይ ጥቃት 215 ደቂቃ ፈጅቶ በ98 በመቶ ትክክለኛነት።
በአሳሽ በኩል ጥቃት ሲሰነዘር፣ ዒላማው ጣቢያ ቀረጻውን ለመጀመር በ iframe በኩል ይሽከረከራል። ምን አይነት መረጃ እንደሚታይ ለማወቅ የፍሬም ውፅዓት ወደ ጥቁር እና ነጭ ውክልና ይቀየራል፣ ወደዚህም የ SVG ማጣሪያ ይተገበራል ፣ ይህም የማስተዋወቅ እና በተጨመቀ ጊዜ ብዙ ድግግሞሽ የማያስተዋውቅ ጭምብል ተከታታይ ተደራቢ ያደርጋል። በማጣቀሻ ናሙናዎች ስዕል ጊዜ ላይ የተደረጉ ለውጦችን በመገምገም, በተወሰነ ቦታ ላይ የጨለማ ወይም የብርሃን ፒክሰሎች መገኘት ጎልቶ ይታያል. አጠቃላይ ምስሉ የሚገነባው ተመሳሳይ ጭምብሎችን በመጠቀም በቅደም ተከተል ፒክሴል-በ ፒክስል ፍተሻ ነው።
የጂፒዩ እና የአሳሽ አምራቾች ስለ ችግሩ በመጋቢት ወር እንዲያውቁ ተደርገዋል፣ ነገር ግን አንድም ሻጭ እስካሁን መፍትሄ አላመጣም ፣ ምክንያቱም ጥቃቱ ከጥሩ በታች በሆኑ ሁኔታዎች ውስጥ በተግባር አጠያያቂ ስለሆነ እና ችግሩ የበለጠ የንድፈ ሀሳብ ፍላጎት ስላለው። ጉግል በ Chrome አሳሽ ደረጃ ላይ ጥቃቱን ለመግታት አሁንም አልወሰነም። Chrome የተጋለጠ ነው ምክንያቱም ኩኪውን ሳያጸዳ iframe ከሌላ ጣቢያ እንዲጭን ስለሚያስችል፣ የኤስቪጂ ማጣሪያዎች በiframe ላይ እንዲተገበሩ ስለሚፈቅድ እና ለጂፒዩ የሚያሳዩ ልዑካን ናቸው። ፋየርፎክስ እና ሳፋሪ እነዚህን መመዘኛዎች ስለማያሟሉ በተጋላጭነት አይነኩም። ጥቃቱ እንዲሁ በሌሎች ጣቢያዎች ላይ በ iframe መክተትን የሚከለክሉ ጣቢያዎችን አይመለከትም (ለምሳሌ የ X-Frame-Options HTTP አርዕስትን ወደ “SAMEORIGIN” ወይም “DeNY” እሴት በማቀናበር እንዲሁም ይዘቱን በመጠቀም ቅንብሮችን በመጠቀም -የደህንነት-ፖሊሲ ራስጌ)።
ምንጭ: opennet.ru