![Xiaomi Redmi Note 12- Smartphone 4GB RAM 128GB ROM AMOLED Pantalla 6,67'' FHD+ Snapdragon 685 Cámara Profesional 50MP 5000mAh Onyx Gris [Versión Global]](https://m.media-amazon.com/images/I/31ZtbaJOMEL._AC_AC_SR250,250_.jpg)
Las mejores ofertas con descuentos de móviles actualizados cada 24 horas en Amazon
GPU-zip: el ataque que roba píxeles de tu GPU
GPU-zip: GPUs de Nvidia, AMD e Intel son vulnerables al robo de píxeles
¿Qué es GPU-zip?
GPU-zip es un nuevo tipo de ataque de canal lateral que expone los datos visuales procesados en la unidad de procesamiento gráfico (GPU). Este ataque explota una optimización que depende de los datos, es transparente al software y está presente en casi todas las GPUs modernas: la compresión de datos gráficos.
¿Cómo funciona GPU-zip?
GPU-zip se basa en un ataque de origen cruzado que permite que un sitio web malicioso lea los píxeles mostrados en otro sitio, lo que a su vez otorga acceso a información sensible del usuario, como contraseñas y nombres de usuario. Esta amenaza representa una violación de la «Política del mismo origen», un principio de seguridad de Internet diseñado para prevenir que un sitio web malicioso acceda y transmita datos de servicios en otros sitios web.
Para realizar este ataque, un sitio web malicioso selecciona un enlace en la página que desea atacar y lo coloca en un elemento HTML denominado ‘iframe’, que permite la incrustación de contenido en sitios web. El contenido del ‘iframe’ permanece oculto debido a las restricciones de la política del mismo origen, lo que permite que los actores maliciosos roben píxeles de la pantalla del usuario.
El robo de píxeles se facilita por la compresión automática de datos visuales en las GPUs, diseñada para mejorar el rendimiento y ahorrar ancho de banda de memoria. Esta compresión es lossless, es decir, no pierde información al comprimir y descomprimir los datos. Sin embargo, la compresión es dependiente de los datos, es decir, el resultado de la compresión varía según el contenido de los datos. Esto crea un canal lateral que los atacantes aprovechan para inferir los píxeles originales a partir de los datos comprimidos.
¿Qué GPUs y navegadores son vulnerables a GPU-zip?
La investigación realizada por un grupo de expertos de la Universidad de Texas, liderado por Yingchen Wang, reveló que esta vulnerabilidad afecta a las GPUs integradas y discretas de importantes fabricantes como Intel, AMD, Nvidia, Apple, Qualcomm y Arm. Probablemente también afecte a otros fabricantes más pequeños.
Además, el ataque solo se puede ejecutar a través de navegadores basados en el proyecto Chromium de Google, como Chrome y Edge, pero no afecta a Safari ni Firefox. Esto se debe a que estos últimos navegadores tienen mecanismos adicionales para evitar el robo de píxeles entre sitios web.
¿Qué riesgos implica GPU-zip para los usuarios y los desarrolladores web?
GPU-zip representa una amenaza para la privacidad y la seguridad de los usuarios y los desarrolladores web. Un sitio web malicioso podría usar este ataque para obtener información privada y sensible, como nombres de usuario, contraseñas y otros elementos, que se pueden reconstruir píxel a píxel. Por ejemplo, si un usuario que está conectado a Wikipedia visita una página maliciosa, esa página podría usar GPU-zip para conocer el nombre de usuario de Wikipedia del usuario.
Los desarrolladores web también podrían sufrir las consecuencias de este ataque si sus sitios web muestran información confidencial sobre sus usuarios o clientes. Para protegerse, los desarrolladores web deberían configurar sus sitios web para denegar ser incrustados por sitios web de origen cruzado. Para más información sobre cómo hacer esto, se puede consultar este artículo.
¿Qué soluciones existen para mitigar GPU-zip?
Los investigadores ya han informado a los fabricantes de GPUs y a Google sobre GPU-zip, por lo que es posible que veamos actualizaciones en el futuro que resuelvan este problema. Sin embargo, hasta entonces, los usuarios y los desarrolladores web pueden tomar algunas medidas preventivas para reducir el riesgo.
Los usuarios pueden evitar visitar sitios web desconocidos o sospechosos mientras están conectados a otros servicios. También pueden usar navegadores como Safari o Firefox que no son vulnerables a este ataque. Además, pueden desactivar la aceleración por hardware en sus navegadores, lo que impide que la GPU se encargue del renderizado de los píxeles.
Los desarrolladores web pueden configurar sus sitios web para denegar ser incrustados por sitios web de origen cruzado, usando la etiqueta X-Frame-Options o el encabezado Content-Security-Policy. También pueden usar técnicas de ofuscación de píxeles, como añadir ruido o distorsión a los datos visuales, para dificultar la reconstrucción de los píxeles originales.
Conclusión
GPU-zip es una nueva vulnerabilidad de canal lateral que permite el robo de píxeles de la GPU. Afecta a las GPUs de casi todos los fabricantes y a los navegadores basados en Chromium. Implica riesgos para la privacidad y la seguridad de los usuarios y los desarrolladores web. Se pueden tomar medidas preventivas para mitigar el impacto de este ataque, pero se espera que se lancen actualizaciones que lo solucionen definitivamente.
0 comentarios