Investigadores descubren una nueva vulnerabilidad de canal lateral en GPU que filtra datos sensibles

-


Un ataque de canal lateral novedoso llamado GPU.zip hace que prácticamente todas las unidades de procesamiento gráfico (GPU) modernas sean vulnerables a la filtración de información.

"Este canal explota una optimización que es dependiente de los datos, transparente para el software y está presente en casi todas las GPU modernas: la compresión de datos gráficos", afirmó un grupo de académicos de la Universidad de Texas en Austin, la Universidad Carnegie Mellon, la Universidad de Washington y la Universidad de Illinois Urbana-Champaign.

La compresión de datos gráficos es una característica en las GPU integradas (iGPU) que permite ahorrar ancho de banda de memoria y mejorar el rendimiento al renderizar cuadros, comprimiendo datos visuales sin pérdida incluso cuando no son solicitados por el software.

El estudio encontró que la compresión, que ocurre de diversas maneras específicas del fabricante y no documentadas, induce tráfico DRAM dependiente de los datos y ocupación de caché que se puede medir utilizando un canal lateral.

"Un atacante puede explotar el canal de compresión basado en iGPU para realizar ataques de robo de píxeles entre dominios en el navegador mediante el uso de filtros SVG, aunque los filtros SVG se implementen en tiempo constante", afirmaron los investigadores.

"La razón es que el atacante puede crear patrones altamente redundantes o altamente no redundantes según un solo píxel secreto en el navegador. A medida que estos patrones son procesados por la iGPU, sus diferentes grados de redundancia hacen que la salida de compresión sin pérdida dependa del píxel secreto".

La explotación exitosa podría permitir que una página web maliciosa infiera los valores de píxeles individuales de otra página web incrustada en un elemento iframe en la última versión de Google Chrome, eludiendo efectivamente límites de seguridad críticos como la política del mismo origen (SOP).

Chrome y Microsoft Edge son particularmente vulnerables al ataque porque permiten cargar iframes entre dominios con cookies, permiten la renderización de filtros SVG en iframes y delegan tareas de renderización a la GPU. Sin embargo, Mozilla Firefox y Apple Safari no se ven afectados.

En otras palabras, el canal de fuga de compresión de datos gráficos de GPU se puede utilizar para robar píxeles de un iframe entre dominios "ya sea midiendo la diferencia de tiempo de renderización debido a la contención del bus de memoria o utilizando la métrica de tiempo de recorrido LLC para inferir los cambios en el estado de la caché de la CPU inducidos por la GPU".

Un comprobante de concepto (PoC) ideado por los investigadores descubrió que es posible que un actor amenaza pueda engañar a un objetivo potencial para que visite un sitio web fraudulento y obtenga información sobre el nombre de usuario de Wikipedia de un usuario registrado.

Esto, a su vez, se basa en el hecho de que algunos estándares web permiten que la página de enmarcado aplique efectos visuales (es decir, filtros SVG) a la página enmarcada, exponiendo así el mecanismo a ataques de canal lateral al calcular las diferencias de tiempo entre la representación de píxeles en blanco y negro y luego distinguirlos utilizando la información de sincronización.

Las GPU afectadas incluyen las de AMD, Apple, Arm, Intel, Nvidia y Qualcomm. Dicho esto, los sitios web que ya niegan estar incrustados por sitios web entre dominios a través de las reglas de X-Frame-Options y la Política de Seguridad de Contenido (CSP) no son susceptibles al ataque de robo de píxeles.

Estos hallazgos se producen después de un ataque de canal lateral relacionado llamado Hot Pixels que aprovecha un enfoque similar para llevar a cabo "ataques de robo de píxeles y rastreo de historial basados en el navegador" contra los navegadores web Chrome y Safari.


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó ChatGPT, al ser una traducción automática puede contener errores gramaticales o de otro tipo, favor enviar comentarios al moderador para corregir.

Comentarios

Publicar un comentario

Entradas más populares de este blog

DeepSeek: Ciberataque expone vulnerabilidades críticas en su modelo de IA R1 y reaviva debates sobre seguridad global

-
Imagen
La empresa china de inteligencia artificial DeepSeek enfrenta una tormenta de críticas tras revelar que un ciberataque masivo interrumpió sus servicios de registro de usuarios este lunes. El incidente coincide con hallazgos alarmantes de investigadores de seguridad: su modelo de IA *R1*, promocionado como una alternativa económica a ChatGPT y Gemini, presenta vulnerabilidades que permiten generar contenido malicioso y evadir controles éticos.   Detalles del ataque y fallos técnicos  Ataque DDoS sospechado : Aunque DeepSeek no confirmó detalles técnicos, expertos sugieren que el ataque fue de denegación de servicio (DDoS), saturando sus servidores para bloquear nuevos registros. La empresa aseguró que los usuarios existentes no se vieron afectados.   Falsas cuentas y riesgos de suplantación : DeepSeek alertó sobre perfiles falsos en redes sociales que imitan su marca, un movimiento que podría vincularse a campañas de phishing o desinformación.   Vulner...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más