GPU.zip, schede video vulnerabili a un attacco ruba-pixel. A rischio i dati personali

Le GPU di tutti i principali produttori sono risultate vulnerabili a un nuovo attacco di tipo pixel stealing. Battezzato GPU.zip, la nuova modalità di aggressione può consentire ai siti Web di leggere nomi utente, password e altri dati personali inseriti dagli utenti in altre pagine.

Il pixel stealing è una forma di attacco informatico che mira a ottenere informazioni sensibili o confidenziali visualizzate sullo schermo, estraendole pixel per pixel. Questo tipo di attacco si concentra sulla cattura dei dati visivi piuttosto che sull’accesso diretto ai dati sottostanti o al file system del sistema preso di mira. Nell’attacco di pixel stealing, un aggressore cerca di sfruttare le vulnerabilità a livello di software o hardware al fine di catturare l’output visuale di un’applicazione o di un sito Web.

Cos’è e come funziona l’attacco GPU.zip

GPU.zip è un’aggressione di tipo cross-origin perché consente a un sito Web malevolo di leggere i pixel visualizzati sullo schermo da un altro sito Web. Questo viola un principio di sicurezza fondamentale ovvero la cosiddetta same origin policy: essa prescrive che i contenuti ospitati su un dominio siano isolati da tutti gli altri domini utilizzati dai vari siti Web.

Un gruppo di ricercatori ha scoperto che le modalità di compressione dei dati utilizzate da tutte le moderne GPU, sia integrate che su schede video dedicate, permettono a un sito Web malevolo di superare la same origin policy e di leggere i pixel generati da altri siti e applicazioni Web in corso di visualizzazione sullo stesso dispositivo.

Come spiega Yingchen Wang, principale autore dello studio e ricercatore presso l’Università del Texas ad Austin, l’approccio utilizzato dalle schede grafiche di fatto crea un side channel sul quale eventuali aggressori possono fare leva.

L’attacco non è così grave come si potrebbe pensare

Sebbene i risultati della ricerca siano senza dubbio di grande valore, Wang e i suoi collaboratori spiegano che affinché l’attacco abbia successo, è necessario che la vittima utilizzi un browser Web basato su Chromium come Chrome oppure Edge. Firefox e Safari, ad esempio, non risultano vulnerabili.

Inoltre, il sito malevolo dovrebbe a sua volta caricare un tag HTML iframe contenente un riferimento all’URL del sito Web oggetto di aggressione. Ancora una volta, se il sito Web utilizza tecniche per impedire il caricamento di qualsiasi sua pagina da un tag iframe, l’attacco non può funzionare.

I ricercatori hanno dimostrato di essere riusciti a recuperare il nome utente corretto di un utente Wikipedia in circa 30 minuti su un sistema basato su CPU AMD Ryzen 7 4800U grazie alla ricostruzione dei pixel, uno a uno. Lo stesso attacco ha richiesto 215 minuti con una macchina Intel i7-8700.

Le reazioni di Google, Intel e Qualcomm

I portavoce di Google hanno osservato che quella appena presentata è una ricerca significativa sulla relazione tra hardware e software. Utilizzando appositi header a livello di protocollo HTTP, è tuttavia possibile scongiurare l’attacco negando l’incorporazione delle pagine Web in un iframe.

Anche l’utilizzo della politica predefinita per la gestione dei cookie (SameSite=Lax) possono avvantaggiarsi di una significativa protezione contro la divulgazione di dati personalizzati.

Per verificare se un sito Web ha adottato le misure di protezione citate da Google, basta premere F12 nel browser per accedere agli Strumenti per gli sviluppatori, ricaricare la pagine Web (tasto F5) quindi cliccare sulla scheda Network. Cliccando sul documento principale (di solito è la prima voce con document visualizzato nella colonna Type), si può verificare che gli header X-Frame-Options o Content-Security-Policy siano correttamente impostati.

Intel ha fatto presente, invece, che la causa principale della problematica descritta nello studio non risiede nelle GPU dell’azienda ma nel software di terze parti. Reazione simile anche da parte di Qualcomm che ha spiegato come l’attacco GPU.zip non rientri nella “sfera” dell’azienda perché può essere risolto dai singoli browser Web.

Wang, d’altra parte, continua che GPU.zip potrebbe rappresentare solo l’inizio: i principi su cui si basa l’attività di pixel stealing potrebbero essere sfruttati per consentire altri attacchi ancora da scoprire che comportano rischi maggiori per gli utenti finali: “dobbiamo rivedere la nostra cieca fiducia sull’hardware“, ha aggiunto il ricercatore accademico.