Spletne strani lahko vohunijo za vami tudi preko aktivnosti vašega diska

V preteklosti smo že bili priča številnim zvitim tehnikam, s katerimi so lastniki spletnih strani skrito spremljali zgodovino brskanja, ustvarjali digitalne prstne odtise naprav ter v realnem času beležili pritiske tipk in premike miške. V tovrstno neupravičeno poseganje v zasebnost sta se pred kratkim vključila celo giganta, kot sta Meta in Yandex. Sedaj pa so upravljavci spletnih mest našli povsem nov način vohunjenja za obiskovalci, ki temelji na merjenju komaj opaznih interakcij z njihovimi pogoni SSD.

Tehnika, poimenovana FROST (angl. fingerprinting remotely using OPFS-based SSD timing), spletnim mestom omogoča spremljanje drugih strani, ki si jih obiskovalec ogleduje, ter prepoznavanje odprtih aplikacij na njegovi napravi. Ta pristop izkorišča stranski kanal, ki nastane zaradi fizičnih manifestacij, kot so elektromagnetno sevanje, podatkovni predpomnilniki ali čas, potreben za dokončanje določene naloge. Z merjenjem teh dejavnikov lahko napadalci sklepajo o zaupnih podatkih.

Napad, ki ga uporablja FROST, se opira na tekmovanje za vire, kjer se meri interakcija različnih procesov, ki tekmujejo za isti strojni del. Z merjenjem časovnih zamikov določenih vhodno-izhodnih operacij diska SSD so raziskovalci uspeli ugotoviti, katere spletne strani so odprte v drugih zavihkih ali celotnih brskalnikih ter kateri programi se izvajajo v ozadju. Za zagon napada uporabniku ni treba storiti ničesar drugega kot le odpreti spletno stran, ki gosti to kodo.

Sodobni brskalniki so prerasli preprosto pregledovanje dokumentov in postali kompleksne platforme, sposobne poganjati zahtevne pisarniške zbirke, urejevalnike fotografij in celo razvojna okolja. Čeprav te funkcije prinašajo nove možnosti uporabe, hkrati močno povečujejo površino za napade.

FROST deluje izključno znotraj brskalnika prek kode JavaScript, ki komunicira z namenskim datotečnim sistemom OPFS. Gre za prostor za shranjevanje, rezerviran za posamezno spletno mesto. Čeprav je ta sistem izoliran od preostalega računalnika, lahko JavaScript meri vhodno-izhodne interakcije. Ko te podatke obdelajo prek vnaprej naučene nevronske mreže za globoko učenje, lahko napadalec natančno prepozna odprte programe in spletna mesta.

Tehnika ima seveda določene omejitve. Datoteka OPFS mora biti izjemno velika, verjetno okoli gigabajta ali več, kar pomeni, da bi množične napade uporabniki hitro opazili. Prav tako mora biti datoteka shranjena na istem SSD pogonu, ki ga sistem uporablja za delovanje, zato aplikacij na ločenih diskih FROST ne more zaznati.

Raziskovalci so celoten napad uspešno izvedli na računalniku Mac s čipom M2, medtem ko so na sistemu Linux dokazali delovanje osnove merjenja latence. Raziskav na operacijskem sistemu Windows niso opravili. Da bi se zaščitili, strokovnjaki svetujejo redno zapiranje neaktivnih zavihkov, proizvajalcem brskalnikov pa predlagajo omejitev največje dovoljene velikosti tovrstnih datotek. Trenutno ni dokazov, da bi se ta napad že uporabljal v praksi, celotna študija pa bo predstavljena na julijski konferenci DIMVA.