Georgia Tech, Michigan Üniversitesi ve Ruhr Üniversitesi Bochum’daki bir araştırma ekibi, hedefin tarayıcısında görüntülenen içerikten pikselleri alabilen ve gezinme geçmişini çıkarabilen “Sıcak Pikseller” adlı yeni bir saldırı geliştirdi.
Saldırı, modern çip üzerinde sistem (SoC’ler) ve grafik işleme birimlerindeki (GPU’lar) veriye bağlı hesaplama sürelerinden yararlanır ve bunları, en son tarafla olsa bile Chrome ve Safari’de ziyaret edilen web sayfalarından gizlice bilgi çıkarmak için uygular kanal karşı önlemleri etkinleştirildi.
Araştırmacılar, modern işlemcilerin güç tüketimi gereksinimlerini ve ısı dağılımı sınırlamalarını yüksek yürütme hızlarıyla dengelemek için mücadele ettiğini buldu. Bu, belirli talimatlara ve işlemlere işaret eden farklı davranış kalıplarına yol açar.
Bu modeller, genellikle yazılım yoluyla erişilebilen dahili sensör ölçümleri aracılığıyla kolaylıkla tespit edilebilir ve cihaz tipine bağlı olarak, hedef cihazda görüntülenenleri %94’e varan bir doğrulukla ayırt etmeye yardımcı olabilir.
Modern cihazlarda CPU davranışını eşleme
Modern cihazlarda frekans, güç ve sıcaklık ölçümlerini analiz eden araştırmacılar, pasif olarak soğutulan işlemcilerin güç ve frekans yoluyla bilgi sızdırabileceği, aktif olarak soğutulan yongaların ise sıcaklık ve güç okumaları yoluyla veri sızdırabileceği sonucuna vardı.
Araştırmacılar Apple M1 yongaları, bir Google Pixel 6 Pro cihazı içindeki Cortex-X1 Arm çekirdekleri ve OnePlus 10 Pro üzerinde Qualcomm Snapdragon 8 Gen 1 ile deneyler yaptılar. Kısıtlama noktalarını (termal sınırlar) haritaladılar ve iş yüklerini ayırt edilebilir frekans ve güç tüketimi ölçümleriyle ilişkilendirdiler.
Daha sonra ekip, Apple’ın M1 ve M2’si, AMD Radeon RX 6600, Nvidia GeForce RTX 3060 ve Intel Iris Xe dahil olmak üzere gizli ve entegre GPU’larda veriye bağlı sızıntı kanallarını denedi.
Araştırmacılar, farklı işleme davranışlarının (bit çevirme işlemleri gibi) güç tüketimi, sıcaklık ve frekans gibi gözlemlenebilir faktörleri nasıl etkileyebileceğine dair ayrıntılı bir araştırma ve karakterizasyon gerçekleştirdiler ve bu verileri “Sıcak Pikseller” saldırısını değerlendirmek için bir temel olarak kullandılar.
“Sıcak Pikseller” nasıl çalışır?
“Sıcak Pikseller” saldırısı, çalışma sırasında mevcut olan en son sürümler olan Chrome 108 ve Safari 16.2’de, tüm yan kanal karşı önlemleri dahil olmak üzere varsayılan yapılandırmalarında test edildi.
Kurulum, CPU’ların gücünü ve sıcaklığını kısıtlar, böylece hedefin ekranında görüntülenen piksellerin rengiyle ilgili veriler (beyaz veya siyah) işlemcinin frekansından sızar.
Saldırı mekanizması, hedef CPU veya GPU’da verilere bağlı yürütmeyi başlatmak için SVG filtrelerinden yararlanmayı ve ardından piksel rengini anlamak için hesaplama süresini ve sıklığını ölçmek için JavaScript kullanmayı içerir.
Araştırmacılar, bağlantısız bir hedef siteden piksel çalmak için saldırganın kontrol ettiği bir sayfada bir iframe öğesi kullanıyor. Muhtemelen kurban hakkında hassas bilgiler içeren iframe içeriği görünmez, ancak üzerine bir SVG filtresi uygulanarak ve işleme süreleri ölçülerek hesaplanabilir.
Ölçümlerin doğruluğu %60 ile %94 arasında değişiyordu ve her bir pikselin deşifre edilmesi için gereken süre 8,1 ile 22,4 saniye arasındaydı.
En “sızdıran” cihaz AMD Radeon RX 6600 olurken, en iyi korunan cihazların Apple olduğu görülüyor.
Tarama geçmişini ortaya çıkarma
Safari, üst sayfayla aynı kaynağa sahip olmayan iframe öğelerinde tanımlama bilgisi iletimini engellediği için önceki bölümde açıklanan saldırıdan etkilenmez. Bu nedenle, iframe’deki yüklenen pikseller herhangi bir kullanıcı verisi içermez.
Ancak araştırmacılar, Safari’nin Hot Pixels saldırısının bir alt türüne karşı savunmasız olduğunu ve kullanıcının tarama geçmişini koklayarak gizliliğini tehlikeye atabileceğini buldular.
Tasarlanan yöntem, saldırganın kontrolündeki sitedeki hassas sayfalara bağlantılar yerleştirmeyi ve ardından rengi anlamak için SVG filtreleme tekniğini kullanmayı içerir.
Ziyaret edilen sitelerin köprüleri, hedefin hiç ziyaret etmediğinden farklı bir renge sahip olmalıdır, böylece hedefin tarama geçmişini anlamak için temel Sıcak Piksel ilkeleri uygulanabilir.
Ayrıca, köprünün tamamı aynı renge sahip olacağından, her birinden yalnızca bir piksel kurtarmak yeterli olacaktır, bu nedenle çok büyük köprü listeleri kısa sürede ayrıştırılabilir.
Bu saldırıda çalınan verilerin doğruluğu, iPhone 13’te yalnızca %2,5 yanlış negatif bulgu ve 50 köprü başına 183 saniyelik bir kurtarma oranıyla %99,3’e ulaştı.
Çözüm
Araştırmacılar bulgularını Mart ayında Apple, Nvidia, AMD, Qualcomm, Intel ve Google’a açıkladılar. Tüm satıcılar sorunları kabul etti ve bunları hafifletmek için çalışıyor.
Hot Pixels saldırıları, veri sızıntısı verimi genellikle küçük olsa da, yalnızca akıllı telefonlar gibi kararlı bir güç kullanım durumuna hızla ulaşan cihazlarda iyi çalışır.
Bununla birlikte, etkilenen satıcılar ve paydaşlar, HTML standardındaki iframe’lerde SVG filtrelerinin kullanımının kısıtlanması gibi bildirilen sorunlara yönelik çözümleri zaten tartışıyor.
Chrome ekibi, Safari’de bulunan ve yetim iframe’lere çerez yüklenmesini önleyen çerez izolasyon mekanizmasını uygulamak için halihazırda çalışmaktadır.
İşletim sistemi düzeyinde yetkisiz kullanıcılara termal, güç ve frekans okumaları veren sensörlere erişimi kısıtlama önerileri de vardır.
Hot Pixels saldırısı hakkında daha fazla ayrıntı, araştırmacılar tarafından bu hafta başlarında yayınlanan teknik makalede bulunabilir.