【论文分享】GPU.zip: On the Side-Channel Implications of Hardware-Based Graphical Data Compression

The GPU.zip paper will appear in the 45th IEEE Symposium on Security and Privacy (San Francisco, 20-23 May 2024) with the following title:

• GPU.zip: On the Side-Channel Implications of Hardware-Based Graphical
  Data Compression

You can download a preprint from here and the BibTeX citation from here.

背调

文章标题为《GPU.zip: On the Side-Channel Implications of Hardware-Based Graphical Data Compression》，作者包括Yingchen Wang、Riccardo Paccagnella、Zhao Gang、Willy R. Vasquez、David Kohlbrenner、Hovav Shacham和Christopher W. Fletcher，他们分别来自德克萨斯大学奥斯汀分校、卡内基梅隆大学、华盛顿大学、伊利诺伊大学厄巴纳-香槟分校。【一些大佬的主页贴上了，请自行翻阅】

这个团队还有一篇涉及 GPU 攻击的文章《DVFS Frequently Leaks Secrets: Hertzbleed Attacks Beyond SIKE, Cryptography, and CPU-Only Data.》大家感兴趣也可以看看。

概述

压缩可减少整个计算堆栈中的数据移动。不幸的是，它也是一个侧通道泄漏源（早就被研究了）。然而，压缩通常是软件可见的。因此，当涉及敏感数据时，软件可以通过禁用压缩，并根据已知的公共压缩算法定制缓解措施。

#1 逆向软件透明的GPU压缩算法以及相关组件

作者团队发现来自Intel和AMD供应商的集成GPU以特定于供应商且未记录的方式压缩图形数据（即使软件没有明确要求压缩）。

为了查明负责压缩的组件，并确定何时相对于帧渲染调用它，作者团队从 OpenGL 到后端 Mesa、Linux 内核，最后到 iGPU 的软件堆栈。 分析表明，压缩是由 iGPU 端组件以软件透明的方式执行的。 然后，作者团队对英特尔第 8 代至第 11 代 iGPU 和 AMD 第 5 代 GCN iGPU 使用的压缩算法进行深入的逆向工程，并表明压缩算法 a) 在各代之间发生变化，b) 因供应商而异。

#2 通过浏览器执行跨源 SVG 过滤器像素窃取攻击

压缩会导致依赖于数据的DRAM流量和缓存利用率发生变化，这可以通过侧信道分析来测量。

攻击者可以利用基于 iGPU 的压缩通道，使用 SVG 过滤器（截至 2023 年 4 月的最新版 Google Chrome）在浏览器中执行跨域像素窃取攻击，即使 SVG 过滤器是作为恒定时间实现的（已有研究）。 攻击者可以根据浏览器中的单个秘密像素创建高度冗余或高度非冗余的模式。 由于这些模式由 iGPU 处理，因此它们不同程度的冗余导致无损压缩输出依赖于秘密像素。 数据相关的压缩输出直接转换为数据相关的 DRAM 流量和数据相关的高速缓存占用率。 因此，即使在最被动的威胁模型下（攻击者只能使用浏览器中的粗粒度计时器观察模式的粗粒度冗余信息，并且缺乏自适应选择输入的能力），单个像素也可以泄露了。
概念验证攻击在来自具有不同 GPU 架构（Intel、AMD、Apple、Nvidia）的各种硬件供应商的一系列设备（包括计算机、手机）上取得了成功。 令人惊讶的是，我们的攻击在独立 GPU 上也取得了成功，并且初步结果表明这些架构上也存在软件透明压缩。

#3 向 GPU 供应商（AMD、Apple、Arm、Intel、Nvidia 和 Qualcomm）及Google 披露

2023 年 3 月，我们向 GPU 供应商（AMD、Apple、Arm、Intel、Nvidia 和 Qualcomm）披露了我们的调查结果，并向 Google 披露了我们的 Chrome 攻击。

GPU供应商大多拒绝采取行动； 一位人士表示，侧通道超出了他们的威胁模型，另一位人士则表示，缓解风险是软件的责任。 截至 2023 年 8 月，苹果和谷歌仍在决定是否以及如何缓解。

Q & A

普通用户是否受到GPU.zip的影响？

很可能，是的。 作者团队测试了 AMD、Apple、Arm、Intel 和 Qualcomm 的集成 GPU，以及 Nvidia 的一款独立 GPU。 至少有初步结果表明，所有经过测试的 GPU 都会受到影响。

我是一名网站开发人员。如何保护我的用户？

如果您的网站显示有关用户的敏感信息，则应将您的网站配置为拒绝跨域网站嵌入。 有关如何执行此操作的更多信息，请参阅这篇 web.dev 文章。

我是用户。我应该担心吗？

在大多数情况下，可能不会。 大多数敏感网站已经否认被跨域网站嵌入。 因此，它们不容易受到 GPU.zip 挂载的像素窃取攻击。 但是，某些网站仍然容易受到攻击。 例如，如果登录维基百科的用户访问恶意网页，该网页可以利用GPU.zip来了解用户的维基百科用户名（正如作者在本文第5.4节中演示的那样）。

是什么让GPU.zip与以前的压缩侧通道不同？

GPU.zip利用了软件透明的压缩使用。 这与以前的压缩侧信道形成鲜明对比，后者由于软件可见的压缩使用而泄漏，可以通过在软件中禁用压缩来缓解。 有关更详细的解释，请参阅该论文。

GPU图形数据压缩到底是什么？

GPU 图形数据压缩是现代 GPU 的一项功能，用于节省内存带宽并提高性能，而无需任何软件参与。 具体来说，即使软件不要求任何压缩，现代 GPU 也能无损压缩图形数据。

有趣的是，GPU 用于图形数据压缩的算法因供应商和微架构而异。 查看白皮书，了解 Intel 和 AMD 使用的几种专有压缩算法的逆向工程。

你是什么时候披露GPU.zip的？

我们在 2023 年 3 月向 GPU 供应商（AMD、Apple、Arm、Intel、Nvidia 和 Qualcomm）和 Google 披露了我们的发现和概念验证代码。

GPU 供应商是否计划打补丁？

截至 2023 年 9 月，没有 GPU 供应商承诺打补丁。

Chrome 是否计划打补丁？

截至 2023 年 9 月，谷歌仍在决定是否以及如何打补丁。

其他浏览器呢？

Chrome 容易受到论文中演示的像素窃取攻击，因为它满足以下三个标准：

1. 它允许使用 cookie 加载跨域 iframe。
2. 它允许在 iframe 上呈现 SVG 滤镜。
3. 它将渲染任务委托给 GPU。

其他浏览器，如 Firefox 和 Safari，不符合所有这些标准，因此不容易受到攻击。

Code

https://github.com/UT-Security/gpu-zip