Nieuws

Populaire GPU’s geraakt door ernstige kwetsbaarheid

GPU kwetsbaarheid
© Unsplash/Thomas Foster
Beveiligingsonderzoekers hebben een nieuwe kwetsbaarheid ontdekt voor GPU's genaamd ‘GPU.zip’. Vrijwel alle moderne en populaire grafische processoren zijn getroffen.

Volgens de onderzoekers van vier Amerikaanse universiteiten treft de GPU.zip-kwetsbaarheid GPU’s van onder andere AMD, Apple, ARM, NVIDIA en Qualcomm. Waarom het lek zoveel GPU’s treft? Het lek bevindt zich in een proces dat elke GPU doorloopt: datacompressie, leggen de onderzoekers uit. Juist dat proces is dus kwetsbaar voor aanvallen door criminelen. GPU-fabrikanten lijken dit proces niet te hebben beveiligd. Hierdoor wordt ook gevoelige data verwerkt zonder enige bescherming – wat dan ook meteen de interesse van criminelen kan wekken.

Eenvoudig is het wel niet om data te stelen uit het compressieproces. Volgens de onderzoekers moeten criminelen namelijk ‘pixeldata’ stelen. Vervolgens moeten de pixels omgezet worden naar binaire kleuren. Met een zogeheten SVG-filter kan een hacker tenslotte ‘texturen waarnemen’, en dus daadwerkelijk data stelen. Gezien dit proces per pixel verloopt is het een langdradig proces en daarmee voor kwaadwillenden ook ontzettend duur.

Uitgelicht artikel Vind Mijn Apparaat Google dringt aan op snellere Android-updates

Ze krijgen bovendien niet ineens de texturen te zien. Om de textuur te achterhalen moet de tijd die het renderen van de textuur in beslag neemt worden achterhaald. Uiteindelijk kunnen hackers hiermee tekst van je beeld stelen – waaronder dus ook gevoelige data als gebruikersnamen en wachtwoorden. Gezien dit proces ontzettend veel tijd in beslag neemt, is het niet aannemelijk dat jij zomaar wordt getroffen door de kwetsbaarheid. Voor doelwitten die voor hackers interessant zijn, zoals politici, is het lek wel degelijk zorgwekkend.

Vrijwel alle apparaten

Eveneens zorgwekkend is dat de kwetsbaarheid niet alleen laptops en desktops PC’s treft. Ook telefoons en tablets zijn mogelijke doelwitten. Voor degenen die Firefox en Safari gebruiken, hebben de Amerikaanse onderzoekers goed nieuws: die browsers kunnen niet gebruikt worden om het lek uit te buiten. Naar verluidt ontbreekt het deze browsers aan ondersteuning om cross-origin iframes te laden met cookies. Google Chrome, Microsoft Edge en andere op Chromium gebaseerde browsers zijn dus wel kwetsbaar.

Voorlopig is het nog wachten op een oplossing vanuit GPU-fabrikanten. De onderzoekers stellen GPU-fabrikanten ‘in maart 2023 te hebben ingelicht’. Vooralsnog zou de GPU.zip-kwetsbaarheid door geen enkele fabrikant zijn gepatcht. Vandaar dat ze ditmaal in het openbaar vertellen over de bug. Of de fabrikanten nu wél geneigd zijn met GPU.zip aan de slag te gaan, moet mettertijd blijken.

amdBeveiliginggpumobielnvidia

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken