Passwortdiebstahl in Chrome: GPUs von Apple, Intel und anderen machen's möglich – Gefahr ist aber gering
Nahezu alle modernen GPUs nutzen eine spezielle Optimierungsmethode: Sie komprimieren Daten, um Inhalte möglichst schnell und effizient darstellen zu können. Das Verfahren namens „Graphical Data Compression“ bietet Hackern allerdings unter Umständen die Möglichkeit, mithilfe sogenannter Seitenkanalangriffe auf sensible Informationen zuzugreifen. Die Sicherheitslücke, welche das ermöglicht, findet sich in den Grafikprozessoren aller namhaften Hersteller, also auch in Apples hauseigenen Chips. Angreifer müssen aber ziemlich viel Geduld aufbringen und zudem hoffen, dass ihre potenziellen Opfer einen ganz bestimmten Browser nutzen.
Angreifer können Zugangsdaten auslesenForscher von vier US-amerikanischen Universitäten entdeckten den von ihnen als GNU.zip bezeichneten Angriffsvektor, als sie die Kompression grafischer Daten im Hinblick auf Sicherheitsaspekte analysierten. Das Ergebnis ihrer Arbeit präsentieren sie in Kurzform auf einer eigens eingerichteten
Webseite, die ausführliche Untersuchung steht als
PDF-Datei zur Verfügung. Die Sicherheitslücke versetzt Angreifer in die Lage, anhand entsprechend präparierter Internetseiten visuelle Daten auszulesen, welche auf fremden Seiten sichtbar sind. Auf diese Art und Weise können Kriminelle beispielsweise an Zugangsdaten oder Zahlungsinformationen gelangen.
Attacken erfordern eine Menge ZeitAnfällig für eine derartige Attacke sind neben den in Apples M-Chips verbauten GPUs die integrierten Grafikprozessoren von Intel, AMD, Arm und Qualcomm sowie eine dedizierte Karte von Nvidia. Der Angriff erfolgt mithilfe eines iFrames, der auf einer Webseite platziert ist. Damit er funktioniert, muss ein potenzielles Opfer allerdings Google Chrome nutzen. Kommen Firefox oder Safari zum Einsatz, gelangen die Hacker nicht ans Ziel. Darüber hinaus muss ein Nutzer sehr lange auf der böswilligen Internetseite verweilen: Die Forscher benötigten bei Versuchen mit einem Intel Core i7-8700 geschlagene 215 Minuten, um die ins Visier genommenen Pixel auslesen zu können. Mit einem AMD Ryzen 7 4800U ging es schneller, dauerte aber immer noch rund 30 Minuten.
Reale Gefahr ist ziemlich geringDie Wahrscheinlichkeit, einem Angriff mithilfe von GNU.zip zum Opfer zu fallen, ist noch aus einem anderen Grund ziemlich gering. Die meisten Betreiber von Webseiten, auf denen Zugangsdaten oder Zahlungsinformationen eingegeben werden, lassen die Einbindung ihrer Inhalte in externe iFrames nicht zu. Anfällig sei aber beispielsweise Wikipedia, schreiben die Forscher. Google hat ihren Angaben zufolge noch nicht entschieden, ob und gegebenenfalls wann Chrome diesen speziellen Seitenkanalangriff unterbindet. Ob andere auf Chromium basierende Browser wie Microsoft Edge oder Brave ebenfalls betroffen sind, ist nicht bekannt.