பல அமெரிக்க பல்கலைக்கழகங்களைச் சேர்ந்த ஆராய்ச்சியாளர்கள் குழு, GPU ஆல் செயலாக்கப்பட்ட காட்சித் தகவலை மறுகட்டமைக்க அனுமதிக்கும் ஒரு புதிய பக்க-சேனல் தாக்குதல் நுட்பத்தை உருவாக்கியுள்ளது. GPU.zip என அழைக்கப்படும் முன்மொழியப்பட்ட முறையைப் பயன்படுத்தி, தாக்குபவர் திரையில் காட்டப்படும் தகவலைத் தீர்மானிக்க முடியும். மற்றவற்றுடன், தாக்குதலை ஒரு வலை உலாவி மூலம் மேற்கொள்ளலாம். எடுத்துக்காட்டாக, Chrome இல் திறக்கப்பட்ட ஒரு தீங்கிழைக்கும் வலைப்பக்கம், அதே உலாவியில் திறக்கப்பட்ட மற்றொரு வலைப்பக்கத்தின் ரெண்டரிங்கின் போது காட்டப்படும் பிக்சல்கள் பற்றிய தகவல்களை எவ்வாறு பெற முடியும் என்பது நிரூபிக்கப்பட்டது.
தகவல் கசிவுக்கான காரணம், கிராபிக்ஸ் தரவு சுருக்கத்தை செயல்படுத்தும் நவீன GPUகளில் பயன்படுத்தப்படும் ஒரு உகப்பாக்கம் ஆகும். அனைத்து சோதிக்கப்பட்ட ஒருங்கிணைந்த GPUகள் (AMD, Apple, ARM, Intel, Qualcomm) மற்றும் தனித்தனி NVIDIA கிராபிக்ஸ் அட்டைகளிலும் சுருக்கம் இயக்கப்படும்போது இந்த சிக்கல் வெளிப்படுகிறது. பயன்பாடுகள் குறிப்பாக இந்த உகப்பாக்கத்தைக் கோராவிட்டாலும் கூட, ஒருங்கிணைந்த Intel மற்றும் AMD GPUகள் எப்போதும் கிராபிக்ஸ் தரவு சுருக்கத்தை இயக்குகின்றன என்பதை ஆராய்ச்சியாளர்கள் கண்டறிந்துள்ளனர். இந்த சுருக்கமானது DRAM போக்குவரத்து மற்றும் கேச் சுமை செயலாக்கப்படும் தரவின் தன்மையுடன் தொடர்புடையதாக வழிவகுக்கிறது, இது பக்கவாட்டு சேனல் பகுப்பாய்வு மூலம் பிக்சல்-பை-பிக்சல் மறுகட்டமைக்கப்படலாம்.
இந்த முறை மிகவும் மெதுவாக உள்ளது. எடுத்துக்காட்டாக, ஒருங்கிணைந்த AMD Ryzen 7 4800U GPU கொண்ட கணினியில், மற்றொரு தாவலில் விக்கிப்பீடியாவில் உள்நுழைந்த பயனர்பெயரைத் தீர்மானிப்பதற்கான தாக்குதல் 30 நிமிடங்கள் எடுத்து 97% துல்லியத்துடன் பிக்சல் உள்ளடக்கத்தை வழங்கியது. ஒருங்கிணைந்த Intel i7-8700 GPU கொண்ட கணினிகளில், இதேபோன்ற தாக்குதல் 98% துல்லியத்துடன் 215 நிமிடங்கள் எடுத்தது.
உலாவி அடிப்படையிலான தாக்குதலின் போது, இலக்கு வலைத்தளம் ரெண்டரிங்கைத் தொடங்க ஒரு iframe இல் சுழற்சி முறையில் திறக்கப்படுகிறது. காண்பிக்க வேண்டிய தகவலைத் தீர்மானிக்க, iframe வெளியீடு ஒரு கிரேஸ்கேல் பிரதிநிதித்துவமாக மாற்றப்படுகிறது, அதற்கு ஒரு SVG வடிகட்டி பயன்படுத்தப்படுகிறது. இந்த வடிகட்டி தொடர்ச்சியாக குறிப்பிடத்தக்க சுருக்க மேல்நிலையை அறிமுகப்படுத்தும் மற்றும் அறிமுகப்படுத்தாத முகமூடிகளைப் பயன்படுத்துகிறது. குறிப்பு மாதிரிகளின் ரெண்டரிங் நேரத்தில் ஏற்படும் மாற்றத்தின் அடிப்படையில், ஒரு குறிப்பிட்ட நிலையில் இருண்ட அல்லது ஒளி பிக்சல்கள் இருப்பது அடையாளம் காணப்படுகிறது. இந்த முகமூடிகளைப் பயன்படுத்தி தொடர்ச்சியான பிக்சல்-பை-பிக்சல் ஆய்வு மூலம் ஒட்டுமொத்த படம் மறுகட்டமைக்கப்படுகிறது.
மார்ச் மாதத்தில் GPU மற்றும் உலாவி விற்பனையாளர்களுக்கு இந்தப் பிரச்சினை குறித்து அறிவிக்கப்பட்டது, ஆனால் எந்த விற்பனையாளரும் இன்னும் ஒரு பேட்சை உருவாக்கவில்லை, ஏனெனில் சிறந்த சூழ்நிலைகளைக் காட்டிலும் குறைவான சூழ்நிலையில் தாக்குதலின் சாத்தியக்கூறு கேள்விக்குரியது மற்றும் இந்தப் பிரச்சினை முதன்மையாக தத்துவார்த்த ஆர்வத்தைக் கொண்டுள்ளது. Chrome உலாவி மட்டத்தில் தாக்குதலைத் தடுக்க வேண்டுமா என்பதை Google இன்னும் முடிவு செய்யவில்லை. குரோம் பாதிக்கப்படக்கூடியது, ஏனெனில் இது குக்கீகளை அழிக்காமல் மற்ற தளங்களிலிருந்து iframes ஏற்ற அனுமதிக்கிறது, SVG வடிப்பான்களை iframes இல் பயன்படுத்த அனுமதிக்கிறது மற்றும் GPU க்கு ரெண்டரிங்கை வழங்குகிறது. Firefox மற்றும் Safari இந்த அளவுகோல்களை பூர்த்தி செய்யாததால் அவை பாதிக்கப்படக்கூடியவை அல்ல. மற்ற தளங்களில் iframes வழியாக உட்பொதிப்பதைத் தடைசெய்யும் தளங்களுக்கும் தாக்குதல் பொருந்தாது (எடுத்துக்காட்டாக, X-Frame-Options HTTP தலைப்பை "SAMEORIGIN" அல்லது "DENY" என அமைப்பதன் மூலம் அல்லது உள்ளடக்க-பாதுகாப்பு-கொள்கை தலைப்பைப் பயன்படுத்தி அணுகலை உள்ளமைப்பதன் மூலம்).
ஆதாரம்: opennet.ru
