GPU இல் செயலாக்கப்பட்ட காட்சித் தகவலை மீண்டும் உருவாக்க அனுமதிக்கும் புதிய பக்க-சேனல் தாக்குதல் நுட்பத்தை பல அமெரிக்க பல்கலைக்கழகங்களின் ஆராய்ச்சியாளர்கள் குழு உருவாக்கியுள்ளது. GPU.zip எனப்படும் முன்மொழியப்பட்ட முறையைப் பயன்படுத்தி, தாக்குபவர் திரையில் காட்டப்படும் தகவலைத் தீர்மானிக்க முடியும். மற்றவற்றுடன், இணைய உலாவி மூலம் தாக்குதல் நடத்தப்படலாம், எடுத்துக்காட்டாக, Chrome இல் திறக்கப்பட்ட தீங்கிழைக்கும் இணையப் பக்கம் அதே உலாவியில் திறக்கப்பட்ட மற்றொரு வலைப்பக்கத்தை வழங்கும்போது காட்டப்படும் பிக்சல்கள் பற்றிய தகவலை எவ்வாறு பெற முடியும் என்பதை நிரூபிக்கிறது.
தகவல் கசிவுக்கான ஆதாரம், கிராஃபிக் தரவுகளின் சுருக்கத்தை வழங்கும் நவீன GPU களில் பயன்படுத்தப்படும் தேர்வுமுறை ஆகும். சோதனை செய்யப்பட்ட அனைத்து ஒருங்கிணைந்த GPUகள் (AMD, Apple, ARM, Intel, Qualcomm) மற்றும் NVIDIA டிஸ்க்ரீட் கிராபிக்ஸ் கார்டுகளில் சுருக்கத்தைப் பயன்படுத்தும் போது சிக்கல் ஏற்படுகிறது. அதே நேரத்தில், ஒருங்கிணைக்கப்பட்ட இன்டெல் மற்றும் ஏஎம்டி ஜிபியுக்கள் எப்போதும் கிராபிக்ஸ் தரவு சுருக்கத்தை செயல்படுத்துகின்றன என்று ஆராய்ச்சியாளர்கள் கண்டறிந்தனர், பயன்பாடு குறிப்பாக அத்தகைய தேர்வுமுறையைப் பயன்படுத்தக் கோரவில்லை என்றாலும். சுருக்கத்தின் பயன்பாடு DRAM ட்ராஃபிக் மற்றும் கேச் சுமை செயலாக்கப்படும் தரவின் தன்மையுடன் தொடர்புபடுத்துகிறது, இது பக்க சேனல் பகுப்பாய்வு மூலம் பிக்சல்-பை-பிக்சல் மறுகட்டமைக்கப்படலாம்.
இந்த முறை மிகவும் மெதுவாக உள்ளது, எடுத்துக்காட்டாக, ஒருங்கிணைக்கப்பட்ட AMD Ryzen 7 4800U GPU கொண்ட கணினியில், மற்றொரு தாவலில் விக்கிப்பீடியாவில் பயனர் உள்நுழைந்த பெயரைக் கண்டறியும் தாக்குதல் 30 நிமிடங்கள் எடுத்து பிக்சல்களின் உள்ளடக்கங்களைத் தீர்மானிக்க அனுமதித்தது. 97% துல்லியத்துடன். ஒருங்கிணைக்கப்பட்ட Intel i7-8700 GPU உள்ள கணினிகளில், இதேபோன்ற தாக்குதல் 215% துல்லியத்துடன் 98 நிமிடங்கள் எடுத்தது.
உலாவியின் மூலம் தாக்குதலை நடத்தும் போது, இலக்கு தளமானது ஒரு iframe மூலம் ரெண்டரிங்கைத் தொடங்கும். என்ன தகவல் காட்டப்படுகிறது என்பதைத் தீர்மானிக்க, iframe வெளியீடு கருப்பு-வெள்ளை பிரதிநிதித்துவமாக மாற்றப்படுகிறது, இதில் SVG வடிகட்டி பயன்படுத்தப்படுகிறது, இது சுருக்கத்தின் போது அதிக பணிநீக்கத்தை அறிமுகப்படுத்தும் மற்றும் அறிமுகப்படுத்தாத முகமூடிகளின் தொடர்ச்சியான மேலடுக்கைச் செய்கிறது. குறிப்பு மாதிரிகள் வரைதல் நேரத்தில் ஏற்படும் மாற்றங்களின் மதிப்பீட்டின் அடிப்படையில், ஒரு குறிப்பிட்ட நிலையில் இருண்ட அல்லது ஒளி பிக்சல்கள் இருப்பது சிறப்பிக்கப்படுகிறது. ஒட்டுமொத்த படமும் ஒரே மாதிரியான முகமூடிகளைப் பயன்படுத்தி தொடர்ச்சியான பிக்சல்-பை-பிக்சல் ஆய்வு மூலம் மறுகட்டமைக்கப்படுகிறது.
GPU மற்றும் உலாவி உற்பத்தியாளர்களுக்கு மார்ச் மாதத்தில் இந்தச் சிக்கல் குறித்து அறிவிக்கப்பட்டது, ஆனால் எந்தவொரு விற்பனையாளரும் இதுவரை தீர்வைத் தயாரிக்கவில்லை, ஏனெனில் இந்த தாக்குதல் நடைமுறையில் குறைவான நிலைமைகளின் கீழ் சந்தேகத்திற்குரியது மற்றும் சிக்கல் அதிக தத்துவார்த்த ஆர்வமாக உள்ளது. குரோம் பிரவுசர் மட்டத்தில் தாக்குதலைத் தடுப்பதா என்பதை கூகுள் இன்னும் முடிவு செய்யவில்லை. குக்கீயை அழிக்காமல் வேறொரு தளத்தில் இருந்து iframe ஐ ஏற்ற அனுமதிக்கிறது, iframe இல் SVG வடிப்பான்களைப் பயன்படுத்த அனுமதிக்கிறது மற்றும் GPU க்கு ரெண்டரிங் செய்யும் பிரதிநிதிகள் Chrome பாதிக்கப்படக்கூடியது. பயர்பாக்ஸ் மற்றும் சஃபாரி இந்த அளவுகோல்களை பூர்த்தி செய்யாததால் பாதிப்பால் பாதிக்கப்படவில்லை. மற்ற தளங்களில் iframe வழியாக உட்பொதிப்பதைத் தடைசெய்யும் தளங்களுக்கும் இந்தத் தாக்குதல் பொருந்தாது (உதாரணமாக, X-Frame-Options HTTP தலைப்பை "SAMEORIGIN" அல்லது "DENY" என அமைப்பதன் மூலம், அத்துடன் உள்ளடக்கத்தைப் பயன்படுத்தி அணுகல் அமைப்புகள் மூலம் -பாதுகாப்பு-கொள்கை தலைப்பு ).
ஆதாரம்: opennet.ru