Все современные видеокарты уязвимы перед side-channel атакой, которая позволяет злоумышленникам похищать пиксели с других веб-страниц. Исследователи из Техасского университета в Остине, Университета Карнеги-Меллона, Вашингтонского университета и Иллинойского университета в Урбане-Шампейне разработали атаку под названием GPU.zip, которая использует аппаратное сжатие графических данных для «слива» конфиденциальной визуальной информации при посещении веб-страниц.
Перед атакой уязвимы практически все современные графические процессоры. Исследователи сообщили о проблеме производителям видеокарт еще в марте 2023 года, однако по состоянию на сентябрь 2023 года ни один из них, включая AMD, Apple, Arm, Intel, NVIDIA и Qualcomm, не выпустил исправлений. Также патчей по-прежнему нет для Google Chrome, который тоже задействован в этой атаке.
Как работает атака
GPU.zip основывается на аппаратном сжатии графических данных, которое современные GPU выполняют для повышения производительности. Эта функциональность позволяет экономить пропускную способность памяти и повышать производительность при рендеринге, сжимая визуальные данные без потерь, даже если этого не требует ПО.
Исследователи обнаружили, что современные графические процессоры автоматически пытаются сжать визуальные данные без участия каких-либо приложений. Это делается для экономии пропускной способности памяти и повышения производительности. Поскольку сжимаемость зависит от данных, такая оптимизация создает возможность для side-channel атаки, которая может использоваться злоумышленником для раскрытия информации о визуальных данных.
Так как при сжатии данных возникает заметная зависимость между трафиком DRAM и загрузкой кеша, это может быть использовано для «слива» секретов. Именно поэтому при работе с конфиденциальными данными ПО обычно отключает сжатие. Однако современные GPU, особенно интегрированные решения Intel и AMD, выполняют сжатие данных, даже если об этом не просят. Такое сжатие часто не документировано и зависит от производителя.
Как работает proof-of-concept
Атака GPU.zip начинается с того, что вредоносный сайт размещает ссылку на нужную ему веб-страницу внутри iframe. Как правило, Same-origin policy не позволяет ни одному из сайтов просматривать исходный код, содержимое или конечный визуальный продукт другого. Однако исследователи обнаружили, что сжатие данных, используемое как внутренними, так и дискретными графическими процессорами для повышения производительности, позволяет обойти эти ограничения и буквально воровать отдельные пиксели по одному.
Для работы GPU.zip необходимо загрузить вредоносную страницу в браузере Chrome или Edge. В Firefox и Safari атака не увенчается успехом. Дело в том, что для срабатывания атаки браузер должен разрешать загрузку cross-origin iframe'ов с cookie, допускать рендеринг SVG-фильтров в iframe, а также делегировать задачи рендеринга графическому процессору.
Результаты тестов
Результаты приведенных экспертами тестов показали, что кражу имени пользователя из iframe Wikipedia возможно осуществить за 30 минут на Ryzen 7 4800U с точностью 97%, и за 215 минут на графических процессорах Intel i7-8700 с точностью 98,3%.
Отмечается, что хотя GPU.zip затрагивает почти всех основных производителей графических процессоров, включая AMD, Apple, Arm, Intel, Qualcomm и NVIDIA, не все видеокарты подвержены проблеме одинаково. Также проблема вряд ли будет эксплуатироваться массово за счет сложности атаки и времени, которое необходимо для ее выполнения. Кроме того, сайты, запрещающие встраивание cross-origin iframe'ов, вообще не могут использоваться для «слива» данных.
Исследователи отмечают, что есть и другие причины, помимо кражи пикселей, по которым людям стоит обратить внимание на эту проблему. Во-первых, GPU.zip может помочь реализовать другие, еще не обнаруженные атаки, помимо кражи пикселей, которые тоже несут больший риск для конечных пользователей. Во-вторых, GPU.zip это еще один пример того, как аппаратная оптимизация создает side-channel атаку, которую не может нейтрализовать софт. Это еще раз подчеркивает, что нам, пользователям, необходимо переосмыслить свое отношение и доверие к аппаратному обеспечению.
Реакция производителей
Представители Intel уже отреагировали на заявления исследователей и дали следующий комментарий: «Хотя у Intel не было доступа к полному тексту статьи исследователей, мы оценили предоставленные выводы и определили, что основная причина кроется не в наших графических процессорах, а в стороннем программном обеспечении».
Представители Google также сообщают, что уже изучают информацию о GPU.zip и находятся в постоянном контакте с исследователями.
Эволюция атаки: Pixnapping на Android
В октябре 2025 года исследователи представили новую версию атаки под названием Pixnapping, которая адаптирует GPU.zip для мобильных устройств на Android. Эта атака позволяет вредоносному приложению без специальных разрешений похищать двухфакторные коды и другие конфиденциальные данные с экрана.
Принцип работы схож: приложение использует публичные Android API для отображения целевого контента, затем накладывает прозрачные окна и измеряет время рендеринга через GPU.zip. Атака медленная (0,6-2,1 пикселя в секунду), но эффективная. Тесты показали, что Google Pixel 6 уязвим в 73% случаев, а кража 2FA-кода занимает в среднем 14,3 секунды. Примечательно, что Samsung Galaxy S25 полностью защищен от атаки благодаря аппаратному шуму в измерениях.
Google присвоил атаке CVE-2025-48561 с высоким уровнем опасности и выпустил частичный патч в сентябре 2025 года, но исследователи нашли обход, и второй патч ожидается в декабре 2025 года.
Что делать пользователям и владельцам сайтов
Для владельцев сайтов, отображающих конфиденциальную информацию, рекомендуется настроить сайт так, чтобы он запрещал встраивание через cross-origin iframe. Большинство чувствительных сайтов уже делают это, что защищает их от данной атаки.
Обычным пользователям не стоит сильно беспокоиться: сложность и время, необходимое для атаки, делают ее маловероятной для массового использования. Кроме того, большинство сайтов, содержащих конфиденциальные данные, уже защищены от встраивания через iframe. Тем не менее, это открытие подчеркивает важность аппаратной безопасности и показывает, что даже такие базовые функции, как сжатие данных для повышения производительности, могут быть использованы злоумышленниками для нарушения конфиденциальности. Браузеры, такие как Firefox и Safari, не подвержены данной атаке из-за различий в их архитектуре, что делает их более безопасным выбором в этом аспекте.
Перед атакой уязвимы практически все современные графические процессоры. Исследователи сообщили о проблеме производителям видеокарт еще в марте 2023 года, однако по состоянию на сентябрь 2023 года ни один из них, включая AMD, Apple, Arm, Intel, NVIDIA и Qualcomm, не выпустил исправлений. Также патчей по-прежнему нет для Google Chrome, который тоже задействован в этой атаке.
Как работает атака
GPU.zip основывается на аппаратном сжатии графических данных, которое современные GPU выполняют для повышения производительности. Эта функциональность позволяет экономить пропускную способность памяти и повышать производительность при рендеринге, сжимая визуальные данные без потерь, даже если этого не требует ПО.
Исследователи обнаружили, что современные графические процессоры автоматически пытаются сжать визуальные данные без участия каких-либо приложений. Это делается для экономии пропускной способности памяти и повышения производительности. Поскольку сжимаемость зависит от данных, такая оптимизация создает возможность для side-channel атаки, которая может использоваться злоумышленником для раскрытия информации о визуальных данных.
Так как при сжатии данных возникает заметная зависимость между трафиком DRAM и загрузкой кеша, это может быть использовано для «слива» секретов. Именно поэтому при работе с конфиденциальными данными ПО обычно отключает сжатие. Однако современные GPU, особенно интегрированные решения Intel и AMD, выполняют сжатие данных, даже если об этом не просят. Такое сжатие часто не документировано и зависит от производителя.
Как работает proof-of-concept
Атака GPU.zip начинается с того, что вредоносный сайт размещает ссылку на нужную ему веб-страницу внутри iframe. Как правило, Same-origin policy не позволяет ни одному из сайтов просматривать исходный код, содержимое или конечный визуальный продукт другого. Однако исследователи обнаружили, что сжатие данных, используемое как внутренними, так и дискретными графическими процессорами для повышения производительности, позволяет обойти эти ограничения и буквально воровать отдельные пиксели по одному.
Для работы GPU.zip необходимо загрузить вредоносную страницу в браузере Chrome или Edge. В Firefox и Safari атака не увенчается успехом. Дело в том, что для срабатывания атаки браузер должен разрешать загрузку cross-origin iframe'ов с cookie, допускать рендеринг SVG-фильтров в iframe, а также делегировать задачи рендеринга графическому процессору.
Результаты тестов
Результаты приведенных экспертами тестов показали, что кражу имени пользователя из iframe Wikipedia возможно осуществить за 30 минут на Ryzen 7 4800U с точностью 97%, и за 215 минут на графических процессорах Intel i7-8700 с точностью 98,3%.
Отмечается, что хотя GPU.zip затрагивает почти всех основных производителей графических процессоров, включая AMD, Apple, Arm, Intel, Qualcomm и NVIDIA, не все видеокарты подвержены проблеме одинаково. Также проблема вряд ли будет эксплуатироваться массово за счет сложности атаки и времени, которое необходимо для ее выполнения. Кроме того, сайты, запрещающие встраивание cross-origin iframe'ов, вообще не могут использоваться для «слива» данных.
Исследователи отмечают, что есть и другие причины, помимо кражи пикселей, по которым людям стоит обратить внимание на эту проблему. Во-первых, GPU.zip может помочь реализовать другие, еще не обнаруженные атаки, помимо кражи пикселей, которые тоже несут больший риск для конечных пользователей. Во-вторых, GPU.zip это еще один пример того, как аппаратная оптимизация создает side-channel атаку, которую не может нейтрализовать софт. Это еще раз подчеркивает, что нам, пользователям, необходимо переосмыслить свое отношение и доверие к аппаратному обеспечению.
Реакция производителей
Представители Intel уже отреагировали на заявления исследователей и дали следующий комментарий: «Хотя у Intel не было доступа к полному тексту статьи исследователей, мы оценили предоставленные выводы и определили, что основная причина кроется не в наших графических процессорах, а в стороннем программном обеспечении».
Представители Google также сообщают, что уже изучают информацию о GPU.zip и находятся в постоянном контакте с исследователями.
Эволюция атаки: Pixnapping на Android
В октябре 2025 года исследователи представили новую версию атаки под названием Pixnapping, которая адаптирует GPU.zip для мобильных устройств на Android. Эта атака позволяет вредоносному приложению без специальных разрешений похищать двухфакторные коды и другие конфиденциальные данные с экрана.
Принцип работы схож: приложение использует публичные Android API для отображения целевого контента, затем накладывает прозрачные окна и измеряет время рендеринга через GPU.zip. Атака медленная (0,6-2,1 пикселя в секунду), но эффективная. Тесты показали, что Google Pixel 6 уязвим в 73% случаев, а кража 2FA-кода занимает в среднем 14,3 секунды. Примечательно, что Samsung Galaxy S25 полностью защищен от атаки благодаря аппаратному шуму в измерениях.
Google присвоил атаке CVE-2025-48561 с высоким уровнем опасности и выпустил частичный патч в сентябре 2025 года, но исследователи нашли обход, и второй патч ожидается в декабре 2025 года.
Что делать пользователям и владельцам сайтов
Для владельцев сайтов, отображающих конфиденциальную информацию, рекомендуется настроить сайт так, чтобы он запрещал встраивание через cross-origin iframe. Большинство чувствительных сайтов уже делают это, что защищает их от данной атаки.
Обычным пользователям не стоит сильно беспокоиться: сложность и время, необходимое для атаки, делают ее маловероятной для массового использования. Кроме того, большинство сайтов, содержащих конфиденциальные данные, уже защищены от встраивания через iframe. Тем не менее, это открытие подчеркивает важность аппаратной безопасности и показывает, что даже такие базовые функции, как сжатие данных для повышения производительности, могут быть использованы злоумышленниками для нарушения конфиденциальности. Браузеры, такие как Firefox и Safari, не подвержены данной атаке из-за различий в их архитектуре, что делает их более безопасным выбором в этом аспекте.
