6 家 GPU 被曝漏洞，用户名密码被「像素级窃取」，N 卡 A 卡 I 卡高通苹果 ARM 都没躲过

图片地址：https://img.ithome.com/newsuploadfiles/2023/9/1acfd22a-b03f-4bc6-b059-ad6a6bb6e509.png?x-bce-process=image/format,f_auto

万万没想到，这年头 GPU 还能泄露密码了。主流 6 家公司的产品都中招，从英伟达英特尔 AMD，到高通苹果 ARM，手机电脑都没跑。并且不是在处理 AI、大数据任务的时候泄露，而是在处理图形任务渲染网页的时候。新攻击方法称为像素窃取（pixel stealing），由得克萨斯大学奥斯汀分校等研究团队提出。研究将出现在 2024 年的第 45 届 IEEE 安全和隐私研讨会上，不过现在论文和代码都已经开源了。压缩数据的锅研究人员开发的概念验证攻击称为 GPU.zip。方法是在恶意网站嵌入一个 iframe 标签，获取被嵌入网站的内容如用户名、密码的图像和其他敏感数据。通常来说，浏览器的同源策略会阻止这个行为。但现代 GPU 几乎都用到的一个数据压缩方法却不受此限制。这种压缩方法核显独显都会用，主要目的是节省显存带宽并提高性能，不需要应用程序的参与，所以也不受应用程序规则的限制。研究团队把不同 GPU 的压缩算法逆向工程出来后，就