Une équipe de chercheurs de Georgia Tech, de l’Université du Michigan et de l’Université de la Ruhr à Bochum a développé une nouvelle attaque appelée « Hot Pixels », qui peut récupérer des pixels du contenu affiché dans le navigateur de la cible et déduire l’historique de navigation.
L’attaque exploite les temps de calcul dépendant des données sur les systèmes sur puce (SoC) et les unités de traitement graphique (GPU) modernes et les applique pour extraire furtivement des informations des pages Web visitées sur Chrome et Safari, même si avec le dernier côté- contre-mesures de canal activées.
Les chercheurs ont découvert que les processeurs modernes ont du mal à équilibrer les exigences de consommation d’énergie et les limitations de dissipation thermique avec des vitesses d’exécution élevées. Cela conduit à des modèles de comportement distincts qui pointent vers des instructions et des opérations spécifiques.
Ces modèles sont facilement détectables grâce aux mesures des capteurs internes qui sont souvent accessibles via un logiciel et, selon le type d’appareil, peuvent aider à discerner ce qui est visualisé sur l’appareil cible avec une précision pouvant atteindre 94 %.
Cartographie du comportement du processeur sur les appareils modernes
En analysant les mesures de fréquence, de puissance et de température sur des appareils modernes, les chercheurs ont conclu que les processeurs refroidis passivement pouvaient divulguer des informations via la puissance et la fréquence, tandis que les puces refroidies activement divulguaient des données via des lectures de température et de puissance.
Les chercheurs ont expérimenté des puces Apple M1, des cœurs Cortex-X1 Arm à l’intérieur d’un appareil Google Pixel 6 Pro et Qualcomm Snapdragon 8 Gen 1 sur OnePlus 10 Pro. Ils ont cartographié les points d’étranglement (limites thermiques) et corrélé les charges de travail avec des mesures de fréquence et de consommation d’énergie distinctes.
Ensuite, l’équipe a expérimenté des canaux de fuite dépendant des données sur des GPU discrets et intégrés, notamment les M1 et M2 d’Apple, AMD Radeon RX 6600, Nvidia GeForce RTX 3060 et Intel Iris Xe.
Les chercheurs ont effectué une enquête détaillée et une caractérisation de la façon dont différents comportements de traitement (tels que les opérations de retournement de bits) pourraient avoir un impact sur des facteurs observables tels que la consommation d’énergie, la température et la fréquence et ont utilisé ces données comme base pour évaluer l’attaque « Hot Pixels ».
Comment fonctionne « Hot Pixels »
L’attaque « Hot Pixels » a été testée sur Chrome 108 et Safari 16.2, les dernières versions disponibles au moment de l’étude, dans leur configuration par défaut, y compris toutes les contre-mesures de canal latéral.
La configuration limite la puissance et la température des processeurs afin que les données sur la couleur des pixels affichés sur l’écran de la cible (blanc ou noir) soient divulguées à travers la fréquence du processeur.
Le mécanisme d’attaque consiste à tirer parti des filtres SVG pour induire une exécution dépendante des données sur le CPU ou le GPU cible, puis à utiliser JavaScript pour mesurer le temps et la fréquence de calcul afin de déduire la couleur du pixel.
Pour voler des pixels d’un site cible non affilié, les chercheurs utilisent un élément iframe dans une page contrôlée par un attaquant. Le contenu de l’iframe, qui contient vraisemblablement des informations sensibles sur la victime, est invisible mais peut être calculé en appliquant un filtre SVG dessus et en mesurant les temps de rendu.
La précision des mesures variait entre 60% et 94%, et le temps nécessaire pour déchiffrer chaque pixel était compris entre 8,1 et 22,4 secondes.
L’appareil « le plus fuyant » était AMD Radeon RX 6600, tandis que les appareils les mieux protégés semblent être ceux d’Apple.
Découvrir l’historique de navigation
Safari n’est pas impacté par l’attaque décrite dans la section précédente du fait du blocage de la transmission des cookies sur les éléments iframe qui n’ont pas la même origine que la page parent. Par conséquent, les pixels chargés sur l’iframe ne contiendront aucune donnée utilisateur.
Cependant, les chercheurs ont découvert que Safari est vulnérable à un sous-type d’attaque Hot Pixels, qui peut compromettre la confidentialité de l’utilisateur en reniflant son historique de navigation.
La méthode conçue consiste à placer des liens vers des pages sensibles sur le site contrôlé par l’attaquant, puis à utiliser la technique de filtrage SVG pour déduire la couleur.
Les hyperliens des sites visités doivent avoir une couleur différente de ceux que la cible n’a jamais visités, de sorte que les principes de base des Hot Pixels peuvent être appliqués pour déduire l’historique de navigation de la cible.
De plus, étant donné que l’intégralité du lien hypertexte aurait la même couleur, il suffirait de récupérer un seul pixel de chacun, de sorte que de très grandes listes d’hyperliens peuvent être analysées en peu de temps.
La précision des données volées lors de cette attaque a atteint 99,3 % sur l’iPhone 13, avec seulement 2,5 % de faux négatifs et un taux de récupération de 183 secondes pour 50 hyperliens.
Conclusion
Les chercheurs ont divulgué leurs découvertes à Apple, Nvidia, AMD, Qualcomm, Intel et Google en mars. Tous les fournisseurs ont reconnu les problèmes et s’efforcent de les atténuer.
Les attaques Hot Pixels ne fonctionnent bien que sur les appareils qui atteignent rapidement un état stable d’utilisation de l’énergie, comme les smartphones, bien que le débit de fuite de données soit généralement faible.
Cependant, les fournisseurs et les parties prenantes concernés discutent déjà des solutions aux problèmes signalés, comme la restriction de l’utilisation des filtres SVG sur les iframes sur la norme HTML.
L’équipe Chrome travaille déjà sur la mise en œuvre du mécanisme d’isolation des cookies trouvé dans Safari qui empêche le chargement de cookies sur des iframes orphelins.
Il existe également des propositions visant à restreindre l’accès aux capteurs qui donnent des lectures thermiques, de puissance et de fréquence aux utilisateurs non autorisés au niveau du système d’exploitation.
Plus de détails sur l’attaque Hot Pixels peuvent être trouvés dans le document technique publié par les chercheurs plus tôt cette semaine.