GPU.zip, como se ha bautizado el ataque de prueba de concepto, comienza con un sitio web malicioso que coloca un enlace a la página web que desea leer dentro de un iframe, un elemento HTML común que permite a los sitios incrustar anuncios, imágenes u otros contenidos alojados en otros sitios web. Los investigadores descubrieron que la compresión de datos que utilizan tanto las GPU internas como las discretas para mejorar el rendimiento actúa como un canal secundario del que pueden abusar para saltarse la restricción y robar píxeles uno a uno.
Comentarios
Muy resumido: El asunto solo funciona en navegadores chrome y edge accediendo sitios web con los encabezados X-Frame-Options o Content-Security-Policy relajados.
#1 Con la cantidad de navegadores que usan Chrome como base (siendo Edge uno de ellos), la mayoría estará vendido
#2 https://www.hertzbleed.com/gpu.zip/GPU-zip.pdf
En la pag. 15 hablan sobre el rendimiento "extractivo" de pixels que es bajo, unos 6 pixels/segundo en el mejor de los casos. Esto no quita que realizando mejor ingeniería inversa la tasa mejore.
Alucino con la creatividad de la que hacen alarde hackers y pentesters.