15. April 2024 – Forscher der Technischen Universität Graz haben bedenkliche Sicherheitslücken in der Browser-Schnittstelle WebGPU entdeckt, die es ermöglichen, über Seitenkanalangriffe auf Grafikkarten Zugriff auf fremde Computer zu erhalten. Diese Angriffe sind so schnell, dass sie während normaler Internetnutzung unbemerkt bleiben könnten.
Die Schnittstelle WebGPU, die zunehmend für rechenintensive Aufgaben in Webbrowsern verwendet wird, ermöglicht es, die Grafikkarte (GPU) eines Computers zu nutzen. Die Forscher des Instituts für Angewandte Informationsverarbeitung und Kommunikationstechnologie an der TU Graz konnten zeigen, dass durch manipuliertes JavaScript auf Websites Daten wie Tastatureingaben oder Verschlüsselungsschlüssel ausgespäht werden können. Folgende Angriffszenarieren sind laut den Forschern möglich:
- Datenextraktion durch Cache-Analyse: Hierbei füllten die Forscher den Cache-Speicher gezielt mit Daten und beobachteten, wie und wann diese durch andere Prozesse verdrängt wurden. Diese Methode erlaubte eine präzise Analyse von Tastatureingaben.
- Aufbau eines geheimen Kommunikationskanals: Durch eine feinere Segmentierung des Cache-Speichers errichteten die Forscher einen verdeckten Kanal, der Datenübertragungsraten von bis zu 10,9 KB/s erreichte – genug, um einfache Informationen unbemerkt zu übertragen.
- Angriffe auf AES-Verschlüsselungen: Der anspruchsvollste Angriff zielte auf die Entschlüsselung von AES-verschlüsselten Daten ab. Durch Manipulationen im Cache konnten die Forscher kritische Verschlüsselungsschlüssel extrahieren.
Die Ergebnisse der Studie sollen auf der kommenden ACM Asia Conference on Computer and Communications Security in Singapur vorgestellt werden. Die TU Graz hat bereits vor der Veröffentlichung ihrer Ergebnisse die Browser-Hersteller informiert, um ihnen die Möglichkeit zu geben, ihre Systeme zu überarbeiten und die Sicherheitslücken zu schließen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: