Un grup d’investigadors de la Universitat de Texas a Austin han identificat una vulnerabilitat de caràcter general que afecta la totalitat de les targetes gràfiques disponibles al mercat. Aquesta vulnerabilitat, anomenada “GPU-zip” pels investigadors, habilita a una pàgina web amb intencions malicioses a accedir i extreure dades privades sense el consentiment de l’usuari, tot i que cal remarcar que l’amenaça inherent és relativament baixa.

En l’àmbit de la seguretat informàtica, existeixen diversos protocols destinats a prevenir el furt d’informació confidencial de l’usuari. Un d’aquests mecanismes, conegut com a “política de la mateixa font,” imposa una separació estricta entre el domini i el contingut amb l’objectiu de minimitzar les vulnerabilitats. A més, es fan servir mètodes com l’ocultació de contrasenyes mitjançant la representació de punts per garantir la privadesa, tot i que en determinades situacions s’autoritza la previsualització de les mateixes per evitar errors d’entrada.

La vulnerabilitat de la GPU-zip, en particular, aprofita la compressió de dades a la unitat de processament gràfic (GPU). Aquesta tècnica de compressió té la finalitat de reduir l’emmagatzematge de dades i el seu trànsit. Malgrat la compressió, la relació de les dades originalment emmagatzemades amb les dades comprimides permet una recuperació dels paràmetres originals, incloent-hi informació com contrasenyes, noms d’usuari i altres dades delicades.

Cal destacar que per aprofitar aquesta vulnerabilitat, cal accedir a una pàgina web amb contingut maliciós. Aquesta pàgina web efectua una reconstrucció de la representació dels píxels generats per la GPU, cosa que pot revelar les dades de l’usuari, incloent-hi les contrasenyes introduïdes. No obstant això, aquesta vulnerabilitat no és fàcil d’explotar, ja que requereix la incorporació d’un element HTML conegut com a “iFrame” a la pàgina web maliciosa, i a més, la GPU ha de ser l’encarregada de processar aquest iFrame, circumstància que es produeix en la gran majoria dels casos.

A més, s’ha constatat que la vulnerabilitat varia segons el navegador utilitzat. Això vol dir que, mentre que els navegadors Edge i Chrome mostren vulnerabilitat enfront de la GPU-zip, Safari i Firefox resten immunes a aquesta amenaça. Segons els investigadors, sembla que la vulnerabilitat no resideix al codi font comú a Edge i Chrome, conegut com a “Chromium.”

Els investigadors han informat d’aquesta vulnerabilitat tant als fabricants de les targetes gràfiques com a Google durant el mes de març de 2023. No obstant això, s’ha detectat una manca de resposta contundent per part dels proveïdors de les GPU, alguns dels quals han argumentat que aquesta vulnerabilitat de canal lateral no està dins del seu àmbit de responsabilitat o que cal que el programari realitzi les adaptacions pertinents. Fins al moment d’aquest informe, les empreses Apple i Google encara estan debatent la forma de mitigar aquesta amenaça i les mesures concretes a prendre.