Une nouvelle attaque par canal auxiliaire du GPU permet aux sites web malveillants de voler des donnes

LinkedIn est la marque la plus usurpe par les cybercriminels et reprsente 52 % de toutes les attaques de phishing mondiales Il s'agit d'une hausse de 44 % par rapport au trimestre prcdent



Presque toutes les units de traitement graphique (GPU) modernes sont vulnrables un nouveau type d’attaque par canal auxiliaire qui pourrait tre utilis pour obtenir des informations sensibles, selon une quipe de chercheurs de diverses universits des tats-Unis.

La nouvelle mthode d’attaque, appele GPU.zip, a t dcouverte et dcrite en dtail par des reprsentants de l’universit du Texas Austin, de l’universit Carnegie Mellon, de l’universit de Washington et de l’universit de l’Illinois Urbana-Champaign.

L’attaque GPU.zip exploite la compression matrielle des donnes graphiques, une optimisation des GPU modernes conue pour amliorer les performances.

« GPU.zip exploite les utilisations transparentes de la compression au niveau logiciel. Cela contraste avec les canaux auxiliaires de compression antrieurs, qui fuient en raison d’utilisations visibles de la compression dans le logiciel et qui peuvent tre attnus en dsactivant la compression dans le logiciel« , expliquent les chercheurs.

Contrairement de nombreuses autres attaques par canal auxiliaire rcemment divulgues, qui ncessitent une forme d’accs l’appareil cibl, GPU.zip peut tre exploit en attirant l’utilisateur cibl sur un site web malveillant. Grce cette attaque, le site de l’attaquant peut voler des donnes partir d’autres sites web visits en mme temps par la victime.

Plus prcisment, la mthode peut tre utilise par le site web malveillant pour voler des pixels individuels d’un autre site ouvert au mme moment. Cela permet de voler des informations visibles l’cran, comme les noms d’utilisateur, qui peuvent tre utiliss pour dsanonymiser un utilisateur.

Bien que les sites web contenant des informations sensibles soient gnralement configurs pour empcher ce type de fuite, certains sites populaires restent vulnrables.

Les chercheurs ont dmontr l’attaque sur Wikipdia, en volant le nom d’utilisateur de la personne cible, qui est affich dans le coin suprieur. Toutefois, il convient de noter qu’il faut beaucoup de temps au site malveillant pour obtenir les informations par le biais d’une attaque GPU.zip.

Lors de deux expriences menes par les chercheurs, il a fallu 30 minutes et 215 minutes pour obtenir le nom d’utilisateur de Wikipdia.

Nanmoins, les dveloppeurs devraient s’assurer que leurs sites web ne sont pas vulnrables, en les configurant de manire ce qu’ils refusent d’tre intgrs par des sites d’origine croise.

Des informations sur les rsultats et le code de validation du concept ont t fournies AMD, Apple, Arm, Intel, Nvidia et Qualcomm en mars 2023, mais aucun d’entre eux ne s’est engag publier des correctifs la date de septembre 2023.

Il a t dmontr que l’attaque fonctionne sur le navigateur web Chrome. D’autres navigateurs largement utiliss, tels que Safari et Firefox, ne sont pas concerns. Google a galement t inform en mars 2023 du risque potentiel, mais le gant de l’internet est toujours en train de dcider s’il doit corriger le problme et de quelle manire, ont indiqu les chercheurs.

Source : Article de recherche

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

Une nouvelle attaque peut rvler l’identit des utilisateurs anonymes sur tous les principaux navigateurs, sans que l’utilisateur ne dtecte le piratage

55 % des professionnels de la scurit informatique citent le vol de donnes comme leur principale proccupation, suivi du phishing et des ransomwares, d’aprs une tude d’Integrity360

Des cybercriminels utilisent un certificat Nvidia pour les faire apparatre comme des applications Nvidia sur Windows, des identifiants de plus de 70 000 employs de Nvidia ont fuit



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.