È stata svelata una vulnerabilità di sicurezza che colpisce le GPU dei principali produttori, mettendo a rischio i dati degli utenti. L'attacco cross-origin appena scoperto, denominato GPU.zip, consente ai siti web dannosi di violare i limiti di sicurezza e di leggere dati visivi sensibili, come nomi utente e password, da altri siti web.
Le implicazioni di questa violazione sono vaste, in quanto viola un principio di sicurezza fondamentale chiamato "criterio della stessa origine", cruciale per la salvaguardia di internet.
GPU.zip sfrutta una debolezza nel modo in cui le GPU gestiscono la compressione dei dati a fini di ottimizzazione. Le moderne GPU comprimono automaticamente i dati visivi per risparmiare banda di memoria e migliorare le prestazioni. Tuttavia, questa ottimizzazione crea inavvertitamente un canale che i malintenzionati possono sfruttare per "rubare pixel" da un sito web mirato.
Per eseguire GPU.zip con successo, è necessario caricare una pagina web dannosa nei browser Chrome o Edge. Firefox e Safari dispongono di meccanismi diversi che impediscono il successo di questo attacco. Inoltre, la pagina web mirata collegata all'interno di un iframe non deve essere configurata in modo da negare l'incorporamento cross-origine.
I ricercatori hanno dimostrato che GPU.zip colpisce le GPU fornite dai principali produttori, tra cui Apple, Intel, AMD, Qualcomm, ARM e Nvidia. Il tasso di successo dell'attacco varia, con GPU.zip che impiega circa 30 minuti per eseguire il rendering dei pixel mirati su un AMD Ryzen 7 4800U e 215 minuti su un Intel i7-8700. Questo attacco è ugualmente applicabile sia alle GPU integrate che a quelle discrete.
La compressione dei dati è una funzionalità comunemente utilizzata per migliorare le prestazioni di software e hardware. Tuttavia, nel corso degli anni è stata anche un obiettivo frequente per i cyberattacchi, con vari exploit come CRIME, BREACH, VORACLE e Practical Timing Side-Channel Attack che utilizzano le vulnerabilità della compressione.
Al momento GPU.zip è più che altro un proof-of-concept e meno una minaccia imminente, a patto che i siti web limitino adeguatamente le pagine sensibili dall'incorporazione cross-origin. Gli utenti possono verificare se una pagina web ha tali restrizioni ispezionando le intestazioni X-Frame-Options o Content-Security-Policy nel codice sorgente.
Google non ha confermato l'intenzione di modificare il comportamento di Chrome in risposta a questa ricerca. Un rappresentante di Google ha sottolineato che le intestazioni ampiamente adottate, insieme al comportamento predefinito dei cookie "SameSite=Lax", forniscono un'attenuazione significativa contro le fughe di dati.
Intel ha dichiarato che la causa principale del problema risiede nel software di terze parti piuttosto che nelle sue GPU. Qualcomm ritiene che il problema possa essere risolto a livello di applicazione del browser e non ha in programma modifiche immediate. Apple, Nvidia, AMD e ARM non hanno fornito commenti ufficiali al momento in cui scriviamo.
Sebbene GPU.zip non rappresenti una minaccia immediata, sottolinea la necessità di una costante vigilanza nella progettazione di hardware e software. I ricercatori avvertono che questa vulnerabilità potrebbe portare ad attacchi ancora da scoprire che comportano rischi maggiori per gli utenti. Inoltre, mette in evidenza le difficoltà di mitigazione dei canali laterali creati dalle ottimizzazioni hardware.