Tất cả GPU đều dính một lỗ hổng bảo mật đáng sợ, kể cả điện thoại

Thứ Hai 02/10/2023
ICO - Trương Duy Khang

Tất cả GPU đều bị ảnh hưởng bởi lỗ hổng bảo mật này các bạn ạ.

Có một lỗ hổng trên GPU tuy kẻ gian khó khai thác nhưng lại khá là đáng sợ, và nó có thể cho phép những trang web độc hại đọc và lấy các dữ liệu nhạy cảm của nạn nhân. Điều đáng sợ hơn nữa là lổ hổng này ảnh hưởng tất cả các loại GPU; từ desktop, laptop, cho đến điện thoại đều “dính chưởng”.

Theo tài liệu của các nhà nghiên cứu đến từ 4 đại học ở Mỹ, lỗ hổng này có tên là GPU.zip và nó liên quan đến việc nén dữ liệu của GPU. Hacker sẽ cần phải có kiến thức chuyên sâu về các thuật toán nén dữ liệu của GPU – thứ vốn không được chia sẻ rộng rãi và sẽ cần “reverse engineering” để tìm hiểu, và đây là một khởi đầu không hề dễ dàng một chút nào đối với kẻ gian.

Để khai thác lỗ hổng này, một trang web độc hại sẽ sử dụng một bộ lọc cross-origin SVG (scalable vector graphics) để đọc các pixel hiện trên một trang web khác. Nó hoạt động bằng cách truy cập 1 trang web với các yếu tố HTML iframe. iframe này sẽ liên kết với trang web cross-origin kia, từ đó cho phép hacker lấy cắp những thông tin hiện trên màn hình theo kiểu từng pixel một.

Một vấn đề nữa nằm ở trình duyệt. Theo các nhà nghiên cứu, Firefox và Safari không đạt yêu cầu để sử dụng GPU.zip, cho nên nếu mục tiêu đang xài 1 trong 2 trình duyệt kia thì tên hacker đó cũng “nhọ” lắm.

Để khắc phục vấn đề này, các hãng sản xuất GPU đang tìm giải pháp về mặt phần mềm. Một đại diện của Intel cho biết gốc rễ của vấn đề không nằm ở GPU của họ mà nằm ở phần mềm của hãng thứ 3.

Chúng ta cũng không cần phải lo lắng đâu, vì hacker… có cách khác dễ hơn để lấy trộm dữ liệu của bạn. Vả lại, hầu hết những trang web chứa thông tin nhạy cảm cũng thường không cho phép nhúng cross-origin đâu. Sự việc này cho thấy cùng với sự phát triển của công nghệ, những lỗ hổng cũng ngày một trở nên phức tạp hơn rất nhiều.

Tóm tắt ý chính:

Có một lỗ hổng GPU tuy khó khai thác nhưng cho phép những trang web độc hại đọc và lấy các dữ liệu của nạn nhân
Lỗ hổng này ảnh hưởng tất cả các loại GPU, từ desktop, laptop cho đến điện thoại
Lỗ hổng này có tên là GPU.zip và nó liên quan đến việc nén dữ liệu của GPU
Đại diện của Intel cho biết gốc rễ của vấn đề không nằm ở GPU của họ mà nằm ở phần mềm của hãng thứ 3

Nguồn: PC Gamer - Hackers could steal your data via an unpatched GPU pixel-stealing attack. Though that 'could' is doing some real heavy lifting

Tags: