Исследователи обнаружили новую кибератаку под названием GPU.zip, которая затрагивает графические процессоры таких крупных поставщиков, как Apple, Intel, AMD, Qualcomm, Arm и Nvidia.
Эта атака позволяет вредоносным сайтам считывать конфиденциальные визуальные данные, включая имена пользователей и пароли, отображаемые на других сайтах. Атака позволяет обойти same-origin policy – один из основных рубежей интернет-безопасности – за счет использования сжатия данных, применяемого как внутренними, так и дискретными графическими процессорами.
Атака ограничена браузерами Google Chrome и Microsoft Edge и требует разрешительных настроек для iframes, рендеринга SVG-фильтров в iframes и задач с GPU-рендерингом. Исследователи подчеркнули, что хотя GPU.zip не представляет непосредственной угрозы, он подчеркивает важность надежных методов веб-разработки и необходимость переоценки доверия к аппаратному обеспечению как к «корню доверия». Результаты исследования будут представлены на 45-м симпозиуме IEEE по безопасности и конфиденциальности.