Se ha descubierto una vulnerabilidad (GPU-zip) en el que las GPUs de Nvidia, AMD e Intel pueden ser objeto del robo de píxeles.
Vulnerabilidad GPU-zip permite el ‘robo de píxeles’ de la GPU
Una nueva y curiosa vulnerabilidad de canal lateral se está conociendo, el de robo de píxeles. La vulnerabilidad permite explorar la compresión de datos en la GPU. Esto permite a sitios web maliciosos reconstruir el renderizado de píxeles generado por la GPU de otro sitio web (y las credenciales utilizadas para acceder a él), violando un principio básico de seguridad de la World Wide Web conocido como política del mismo origen (same-origin), que restringe la posibilidad de que un documento o script cargado desde un origen puede interactuar con un recurso de otro origen.
La vulnerabilidad de canal lateral afectaría a todos los modelos de GPUs (Apple, Intel, AMD, Qualcomm, ARM y Nvidia), que puede enviar información privada a sitios web maliciosos sin el consentimiento del usuario.
Esto fue descubierto por una investigación de la Universidad de Texas en Austin, que ha demostrado que la nueva vulnerabilidad permite recuperar información privada y sensible, como nombres de usuario, contraseñas y otros elementos, que se pueden reconstruir píxel a píxel.
Te recomendamos nuestra guía sobre las mejores tarjetas grafica del mercado
En las pruebas, los investigadores han llamado a esta vulnerabilidad como GPU-zip. Básicamente, requiere un sitio web malicioso que coloque un enlace dentro de sus páginas bajo un contenedor iFrame. Además, la página enlazada en iFrame debe estar configurada específicamente para no denegar la incrustación, y la GPU debe ser el hardware responsable de renderizarla (como en la mayoría de los casos). En este punto, hay navegadores que son vulnerables a esta práctica, según la investigación. Navegadores como Edge y Chrome facilitan esta vulnerabilidad por la forma en que trabajan con los iFrame, mientras que en navegadores como Safari o Firefox esta vulnerabilidad no funciona.
Los investigadores ya le han hecho saber a los fabricantes de GPUs y a Google sobre GPU-zip, por lo que es posible que veamos actualizaciones en el futuro que resuelvan este problema.
Aunque pueda sonar preocupante, comentan que la posibilidad de riesgo es baja a día de hoy, aunque es importante que los fabricantes de hardware y de software estén al tanto de la situación y la resuelvan. Os mantendremos informados.
