Grafik işleme birimleri veya GPU’lara olan talep, video işleme ve yapay zeka sistemleri işlem gücüne olan ihtiyacı artırdıkça son yıllarda patlama yaşadı. Ve en belirgin kıtlıkların çoğu (ve yükselen hisse senedi fiyatları) üst düzey PC ve sunucu çipleriyle ilgili olsa da, mobil grafik işlemcileri akıllı telefonu olan herkesin her gün kullandığı sürümdür. Bu nedenle bu çiplerdeki güvenlik açıkları veya bunların nasıl uygulandığı gerçek dünyada sonuçlara yol açabilir. Google’ın Android güvenlik açığı avcısı kırmızı ekibinin, mobil GPU’ları uygulamak için yaygın olarak kullanılan çip devi Qualcomm’un açık kaynaklı yazılımlarına odaklanmasının nedeni tam olarak budur.
Cuma günü Las Vegas’ta düzenlenen Defcon güvenlik konferansında, üç Google araştırmacısı Qualcomm’un Adreno GPU’sunda keşfettikleri dokuzdan fazla güvenlik açığını sundular. Adreno GPU, Qualcomm destekli telefonlarda GPU’lar ve Android gibi bir işletim sistemi arasında koordinasyon sağlamak için kullanılan bir yazılım paketidir. Bu tür “sürücüler” herhangi bir bilgisayarın nasıl tasarlandığı için çok önemlidir ve donanım çevre birimleri ile yazılım arasında koordinasyon sağlamak için bir işletim sisteminin çekirdeğinde derin ayrıcalıklara sahiptir. Saldırganlar araştırmacıların bulduğu kusurları kullanarak bir cihazın tam kontrolünü ele geçirebilir.
Yıllardır, mühendisler ve saldırganlar bir bilgisayarın merkezi işlem birimindeki (CPU) potansiyel güvenlik açıklarına odaklanmış ve ham işlem gücü için GPU’lara yaslanarak verimliliği optimize etmişlerdir. Ancak GPU’lar bir cihazın her zaman yaptığı her şeyin merkezi haline geldikçe, spektrumun her iki ucundaki bilgisayar korsanları GPU altyapısının nasıl istismar edilebileceğini araştırmaktadır.
Google’ın Android Red Team yöneticisi Xuan Xing, “Büyük Android ekosistemine kıyasla küçük bir ekibiz; kapsam her şeyi kapsamamız için çok büyük, bu yüzden en büyük etkiyi neyin yaratacağını bulmamız gerekiyor,” diyor. “Peki bu durumda neden bir GPU sürücüsüne odaklandık? Çünkü güvenilmeyen uygulamaların GPU sürücülerine erişmesi için izin gerekmiyor. Bu çok önemli ve bence birçok saldırganın dikkatini çekecek.”
Xing, Android telefonlardaki uygulamaların, kendi deyimiyle “hiçbir sandbox, ek izin kontrolü olmadan” doğrudan Adreno GPU sürücüsüyle konuşabildiği gerçeğine atıfta bulunuyor. Bu, uygulamalara kendi başına dolandırıcılık yapma yeteneği vermiyor, ancak GPU sürücülerini işletim sisteminin düzenli parçaları (veri ve erişimin dikkatlice kontrol edildiği yer) ile belleği de dahil olmak üzere tüm cihaz üzerinde tam kontrole sahip sistem çekirdeği arasında bir köprü haline getiriyor. Xing, “GPU sürücülerinin her türlü güçlü işlevi var,” diyor. “Bellekteki bu eşleme, saldırganların sahip olmak istediği güçlü bir ilkeldir.”
Araştırmacılar, ortaya çıkardıkları güvenlik açıklarının hepsinin GPU sürücülerinin her şeyi koordine etmek için gezinmesi gereken karmaşık bağlantılar ve inceliklerden kaynaklanan kusurlar olduğunu söylüyor. Bu kusurlardan yararlanmak için saldırganların önce hedef cihaza erişim sağlaması, belki de kurbanları kötü amaçlı uygulamaları yan yüklemeye kandırması gerekir.
Android Red Team’in teknik lideri Eugene Rodionov, “Çok sayıda hareketli parça var ve erişim kısıtlaması yok, bu nedenle GPU sürücülerine hemen hemen her uygulama tarafından kolayca erişilebilir,” diyor. “Burada işleri gerçekten sorunlu hale getiren şey, uygulamanın karmaşıklığıdır; bu, birçok güvenlik açığına yol açan bir unsurdur.”
Qualcomm, ürettikleri Android telefonlarda Qualcomm yongaları ve yazılımları kullanan “orijinal ekipman üreticilerine” (OEM’ler) yönelik kusurlar için yamalar yayınladı. Qualcomm Sözcüsü WIRED’a “Android Security Red Team tarafından açıklanan GPU sorunlarıyla ilgili olarak yamalar Mayıs 2024’te OEM’lere sunuldu” dedi. “Son kullanıcıları, cihaz üreticilerinden güvenlik güncellemeleri kullanıma sunuldukça uygulamalarını teşvik ediyoruz.”
Android ekosistemi karmaşıktır ve yamalar Qualcomm gibi bir satıcıdan OEM’lere taşınmalı ve ardından her bir cihaz üreticisi tarafından paketlenerek kullanıcıların telefonlarına teslim edilmelidir. Bu sızma süreci bazen cihazların açıkta bırakılabileceği anlamına gelir, ancak Google bu kanalları iyileştirmek ve iletişimi kolaylaştırmak için yıllarca yatırım yapmıştır.
Yine de bulgular, GPU’ların ve onları destekleyen yazılımların bilgisayar güvenliğinde kritik bir savaş alanı olma potansiyeline sahip olduğunu bir kez daha hatırlatıyor.
Rodionov’un da belirttiği gibi, “Uygulamanın yüksek karmaşıklığı, geniş erişilebilirlikle birleştiğinde saldırganlar için oldukça ilgi çekici bir hedef haline geliyor.”