Современный интернет — это не только тексты, картинки, и видеоигры. Теперь веб-страницы могут содержать такие интерактивные приложения и сложные анимации, что ты начинаешь чувствовать себя участником настоящего цирка.
А ведущий этого цирка — JavaScript, язык программирования, который готов сделать любые трюки, чтобы заставить тебя восхищаться его магией.
И вот JavaScript узнал, что можно взаимодействовать с GPU через WebGL и WebGPU. И если WebGL уже большой клоун, который развлекает всех без вреда для зрителей, то WebGPU, как новый артист в цирке, привлекает внимание не только зрителей, но и специалистов по безопасности, страша их новыми трагикомическими номерами.
Исследователи из Грацского технологического университета (Австрия) решили пошутить над пользователями, продемонстрировав, как с помощью зловредного JavaScript и WebGPU можно стать настоящими шпионами данных. Сценарий вроде из фильма о Джеймсе Бонде, только вместо супершпионов — код и пиксели, и вместо секретных агентов — компьютеры и серверы.
Представляем сценку: ты заходишь на веб-сайт, а тут как в тени за спиной появляется зловредный код, который начинает шептать кэш-памяти, на глазах у тебя, как если бы он читает твои мысли. Ты нажимаешь на клавиши, а злодейский код, как фокусник с палочкой, подсматривает за твоими пальцами и узнает все ваши секреты.
И уже незаметно запихивает украденные данные в уютные уголки кэш-памяти, чтобы потом передать шпионский досье через тайный канал связи.
А вот если ты думаешь, что ты безопасен, даже если не подключен к интернету, то злоумышленники с улыбкой в уголках губ докажут тебе обратное. Они знают, как использовать кэш как секретный агент, который без тебя и не оглядываясь передаст информацию через незаполненные и заполненные сегменты памяти.
И тут уже неважно, что ты магическим образом отключил провода, ты все равно в их западне.
И перед финалом шоу злоумышленники решили продемонстрировать атаку на алгоритм шифрования AES, как настоящие злые гении, раскрывшие свой мастерский номер. Они анализировали реакцию кэша на свои трюки, чтобы понять, где спрятаны ключи шифрования, и вот уже к ним протягивают свои дьявольские руки.
Но пока пользователи могут откинуться на своих стульях и расслабиться, ведь JavaScript еще практикует свои новые трюки с WebGPU за кулисами, и у цирка еще впереди много новых шоу. И хоть эти номера могут быть опасными, как метание ножей, но если вовремя предостеречь, можно избежать неприятных ситуаций.
Исследователи уже сообщили разработчикам браузеров о своих находках и просят добавить новых клоунов в цирк, которые будут следить за безопасностью WebGPU.
Ведь нельзя допустить, чтобы цирк стал местом, где ловят зрителей на удочку злоумышленники, разводя на крючки ловко замаскированные ловушки вместо воздушных шариков.
И вот тебе совет от меня, уважаемый зритель: будь бдителен и не верь всем интернет-шоу без разбора. Если видишь, что в этих мистериях слишком много подозрительных фокусов, лучше легко подскользнуться и выйти из цирка, чем потом попасть в лапы шпионов данных. Помни, что WebGPU может быть сильным помощником в развлечениях, но как только начнет метаться между службой и шпионажем, лучше держать его на коротком поводке.