Обнаружена уязвимость нового веб-стандарта: хакеры могут использовать видеокарту для доступа к вашим данным

Современный интернет — это не просто тексты и картинки. Это интерактивные приложения, сложные анимации, видеоигры, работающие прямо в браузере. Для обеспечения такой функциональности веб-сайты все чаще обращаются к вычислительной мощи не только центрального процессора (CPU), но и графического процессора (GPU), изначально предназначенного для обработки графики.

JavaScript, язык программирования, на котором строится интерактивность веб-страниц, научился взаимодействовать с GPU через специальные интерфейсы, такие как WebGL и WebGPU. И если WebGL уже зарекомендовал себя как надежный инструмент, то новый WebGPU, еще находящийся в стадии разработки, вызывает серьезные опасения у специалистов по безопасности.

Исследователи из Грацского технологического университета (Австрия) продемонстрировали, как с помощью вредоносного JavaScript и WebGPU злоумышленники могут получить доступ к конфиденциальной информации на чужом компьютере. Речь идет о данных, вводимых с клавиатуры, ключах шифрования и даже информации, хранящейся в кэш-памяти.

Как это работает?

Ключевым моментом в атаках является кэш-память — сверхбыстрое хранилище данных, используемое CPU и GPU для оптимизации работы. Исследователи обнаружили, что WebGPU позволяет манипулировать кэшем и отслеживать изменения в нем. Анализируя эти изменения, можно, например, определить, какие клавиши нажимает пользователь.

Более того, злоумышленники могут использовать кэш как скрытый канал связи, передавая информацию через заполненные и незаполненные сегменты памяти. Это позволяет незаметно выводить украденные данные, даже если компьютер не подключен к интернету.

Наконец, исследователям в ходе эксперимента удалось продемонстрировать атаку на алгоритм шифрования AES, широко используемый для защиты информации в сети. Анализируя реакцию кэша на действия вредоносного кода, они смогли определить местоположение ключей шифрования и получить к ним доступ.

Чем это грозит?

Хотя WebGPU еще не получил широкого распространения, его потенциал огромен. Он обещает стать стандартом для создания высокопроизводительных веб-приложений, включая игры, виртуальную реальность и приложения с искусственным интеллектом.

Однако уязвимости, обнаруженные исследователями, ставят под угрозу безопасность миллионов пользователей. Злоумышленники могут использовать WebGPU для кражи паролей, номеров кредитных карт, личной переписки и других конфиденциальных данных.

Что делать?

Исследователи уже сообщили о своих находках разработчикам браузеров и призывают их уделить особое внимание безопасности WebGPU. Необходимо разработать механизмы, которые ограничат доступ вредоносного кода к кэш-памяти и другим чувствительным ресурсам компьютера.

Пользователям же стоит быть бдительными и не доверять подозрительным веб-сайтам, особенно тем, которые требуют установки дополнительных плагинов или разрешений.

WebGPU — это мощный инструмент, способный вывести интернет на новый уровень. Но чтобы он не превратился в инструмент для шпионажа, необходимо позаботиться о его безопасности уже сейчас.