Pelanggaran dan kerentanan keamanan adalah bagian hidup kita sehari-hari saat ini. Lagi pula, akan selalu ada seseorang yang menyelidiki perangkat lunak dan perangkat keras untuk melihat bagaimana mereka bisa masuk. Hal ini sangat buruk ketika kerentanan tersebut memengaruhi perangkat keras, dan yang lebih penting, perangkat keras Anda. Kerentanan baru yang muncul tampaknya memengaruhi setiap model GPU populer di luar sana.
Para peneliti dari empat universitas Amerika telah menemukan ancaman keamanan baru yang dijuluki "GPU.zip" yang mengeksploitasi kartu grafis modern, termasuk yang berasal dari pabrikan besar seperti AMD dan NVIDIA (seperti serta pihak lain seperti Apple, ARM, dan Qualcomm), untuk membocorkan data visual sensitif saat pengguna mengunjungi halaman web. Kerentanan ini, meskipun telah diungkapkan kepada produsen pada bulan Maret 2023, masih belum ditambal pada bulan September 2023. Jadi, bagaimana cara kerja kerentanan ini? Inti dari kerentanan GPU.zip adalah kompresi data, sebuah teknik yang digunakan untuk menghemat memori dan meningkatkan kinerja. Namun, proses kompresi ini terjadi secara otomatis di sebagian besar kartu grafis modern, bahkan ketika menangani data sensitif, dan seringkali tidak terdokumentasi dengan baik. Kompresi ini dapat dimanfaatkan untuk mencuri data piksel dari pengguna, dengan mengisolasi dan mengubah piksel menjadi warna biner pada halaman web lintas asal dan menerapkan tumpukan filter SVG khusus untuk membuat tekstur.
Dalam istilah yang lebih sederhana, serangan menggunakan kerentanan ini dilakukan dengan mengurutkan- bermain-main dengan warna pada gambar di situs web dan melihat berapa lama waktu yang dibutuhkan untuk mengubah warna. Dan dengan mengukur waktu yang dibutuhkan untuk merender tekstur ini, mereka dapat menyimpulkan warna asli, atau keadaan, dari piksel target, sehingga mengungkapkan hal-hal yang berpotensi sensitif seperti nama pengguna.
Tingkat keparahan serangan GPU.zip sangat signifikan dan memengaruhi banyak hal. perangkat, termasuk laptop, ponsel cerdas, tablet, dan PC desktop. Namun, tidak semua kartu grafis memiliki kerentanan yang sama, dan kompleksitas serangan serta persyaratan waktu dapat mengurangi dampak langsungnya. Selain itu, situs web yang melarang penyematan iframe lintas asal tidak rentan terhadap jenis serangan ini. Perlu diperhatikan bahwa browser Firefox dan Safari tidak rentan terhadap GPU.zip karena tidak memenuhi semua kriteria yang diperlukan agar serangan berhasil, tidak memiliki fitur seperti kemampuan memuat iframe lintas asal dengan cookie.
Jadi secara realistis, kemungkinan besar hal ini tidak akan memengaruhi Anda — diperlukan banyak penyelidikan agar peretas dapat benar-benar melakukan sesuatu dengan hal ini. Namun, ini adalah masalah yang sudah ada dan sudah diketahui sejak lama. Mungkin inilah alasan mengapa pembuat GPU belum benar-benar memperbaikinya. Tidak diketahui kapan, atau apakah, ini akan diperbaiki.
Sumber: Bleeping ComputerArtikel Diperbarui pada: September 28, 2023
Kontributor: Syauqi Wiryahasana
Model: Haifa Manik Intani
