加州大學河濱分校的研究人員，發現了三種可能被駭客利用 GPU、來攻破使用者安全與隱私防線的方法。

計算機科學家們認為這是可行的，並且描述了他們如何透過對 Nvidia GPU 進行反向工程，將圖形渲染和計算機堆疊都拉下水。

【英偉達釋出的新卡皇，圖自：Nvidia 官網】

論文原標題為《渲染也不安全：計算機旁路攻擊是可行的》（Rendered Insecure: GPU Side Channel Attacks are Practical）。其聲稱，這是人們首次成功地對 GPU 發起旁路攻擊。

當然，執行這類攻擊，也有著幾項前提。首先，受害裝置上必須被安裝了間諜軟體程式，這種惡意程式碼可以嵌入一個無害的應用程式。

其次，攻擊者必須擁有可以分析 GPU 記憶體分配機制的機器學習方法。然後，間諜軟體和機器學習程式才可以利用現有的圖形 API（如 OpenGL 或 WebGL）發起攻擊。

換言之，一旦使用者打開了惡意應用程式，它就會呼叫 API 來分析 GPU 正在呈現的內容（比如網頁資訊）。GPU 的儲存器和效能計數器被其所監視，並饋送給機器學習演算法，以解釋資料和建立網站的指紋。

加州大學河濱分校指出，鑑於渲染物件數量和尺寸的不同，每個網站在 GPU 記憶體利用率方面都會留下獨特的痕跡。在多次載入同一個網站時，這個訊號的樣式幾乎時一致的，而且不受快取的影響。

研究人員稱，透過這種‘網站指紋識別方法’，他們已經能夠實現很高的識別準確率。藉助這項技術，駭客可監控受害者的所有網路活動。

【研究配圖：旁路攻擊解析】

更糟糕的是，這一漏洞還允許攻擊者從 GPU 資料中提取密碼。

當用戶鍵入密碼字元時，整個文字框會被髮送到 GPU 進行渲染。每一次的擊鍵，都會發生這樣的資料傳遞。

如此一來，憑藉完善的密碼學習技術，只需監控 GPU 記憶體中持續的分配事件、並參考間隔時間，理論上攻擊者就可以做到這點。

論文中描述的第三種技術（攻擊基於雲端的應用程式），則比上述兩種方法要複雜一些。攻擊者可以在 GPU 上啟動惡意的計算型工作負載，與受害者的應用程式一起執行。

根據神經網路的引數、快取、記憶體、以及功能單元上（隨時間而不同的）爭用強度和模式，可以產生可測量的資訊洩露。

攻擊者在效能計數器的追蹤上使用了基於機器學習的分類，以此提取受害者的私密神經網路結構，如深層神經網路特定層中的神經元數量。

萬幸的是，在團隊向 Nvidia 通報了他們的研究結果後，該公司表示將向系統管理員推出一個補丁，以便他們可以禁止從使用者級程序訪問效能計數器。

同時，研究團隊還向 AMD 和英特爾安全團隊通報了同樣的事情，以便它們評估這些漏洞是否會在自家產品上被利用。