26/05/23
Современные процессоры и видеокарты стараются быть тонкими, лёгкими и энергоэффективными. Для этого они используют механизмы динамического изменения напряжения и частоты (DVFS), которые позволяют подстраивать параметры работы устройства в зависимости от нагрузки. Однако эти механизмы также создают побочные каналы утечки информации, которые могут быть использованы злоумышленниками для извлечения конфиденциальных данных, пишут в Securitylab.
Побочные каналы утечки - это такие каналы, которые используют программное обеспечение для измерения физических свойств устройств, таких как потребление энергии, температура или частота. Эти свойства коррелируют с инструкциями и данными, которые обрабатываются на устройстве. Таким образом, злоумышленник может получить доступ к ним через внутренние датчики или интерфейсы, не прибегая к внешнему оборудованию.
Традиционно для таких атак требовалось специальное оборудование, подключенное к компьютеру. Однако недавние исследования показали, что можно использовать программные интерфейсы, доступные на самом компьютере, например, интерфейс RAPL от Intel или механизм DVFS (динамическое изменение напряжения и частоты).
В новом исследовании учёные показали, что побочные каналы утечки присутствуют на современных процессорах архитектуры Arm и видеокартах, которые становятся всё более популярными в высокопроизводительных устройствах. Они также продемонстрировали, как можно использовать эти каналы для проведения атак на браузеры Chrome и Safari с помощью JavaScript-кода. Атаки позволяют украсть пиксели изображений или определить историю посещений сайтов пользователем.
Такие каналы утечки представляют собой новую угрозу для кибербезопасности, так как они могут обойти существующие защитные меры от традиционных атак через микроархитектурные каналы. Поэтому необходимо разработать новые способы обнаружения и предотвращения таких атак на современных устройствах.
Исследователи предложили несколько способов защиты от таких атак, включая снижение разрешения или частоты измерений, добавление шума или случайности в работу компьютера или использование специальных схем защиты данных. Они также призвали разработчиков и производителей учитывать риск подобных утечек при создании нового оборудования и программного обеспечения.
