Дослідники з кібербезпеки з Грацького технічного університету в Австрії опублікували роботу, у якій описали атаку по сторонніх каналах. Вона дозволяє шкідливому вебсайту визначати, які інші сайти та додатки відкриті у відвідувача. Це відбувається шляхом вимірювання затримки доступу до SSD через JavaScript усередині стандартної «пісочниці» браузера, пише Tom’s Hardware.
Читайте также: Американський розробник створив трекер приватних літаків мільярдерів для передбачення апокаліпсису
Технологія під назвою FROST (Fingerprinting Remotely using OPFS-based SSD Timing) на тестовому комп’ютері Mac розпізнала відвідані сайти з точністю приблизно 89%, а запущені програми — з точністю близько 96%. При цьому від жертви не вимагається жодних дій, окрім простого переходу на сторінку зловмисника, а сама атака працює у різних браузерах.
FROST використовує Origin Private File System (OPFS) — браузерний API, який дозволяє вебсайтам створювати та зберігати файли на локальному диску користувача без запиту на дозвіл. Попередні атаки по сторонніх каналах на SSD, які фіксувалися раніше, вимагали запуску нативного коду через привілейовані інтерфейси ядра, проте FROST повністю усуває цю потребу.
Команда дослідників повідомила про свої висновки Google, Apple та Mozilla. У Google заявили, що не вважають фінгерпринтинг (створення «цифрового відбитка» пристрою) уразливістю безпеки. В Apple назвали цю атаку такою, що «наразі перебуває поза межами їхньої компетенції», а Mozilla взяла інформацію до відома, проте не стала впроваджувати жодних виправлень.
Атака створює великий файл OPFS на SSD-накопичувачі жертви. При цьому і Chrome, і Safari дозволяють вебсайту забирати через OPFS до 60% загального дискового простору, що на накопичувачі місткістю 256 ГБ становить понад 150 ГБ. Цей файл має перевищувати обсяг доступної оперативної пам’яті системи, щоб кожне випадкове зчитування блоків по 4 КБ припадало саме на SSD, а не на кеш сторінок операційної системи.
Читайте также: Брэд Питт в молодости: как начинался путь к славе и первые жизненные испытания
Коли інші процеси створюють власне навантаження на введення-виведення, це викликає помітні стрибки затримки під час зчитування даних зловмисником. Ці часові патерни передаються в згорткову нейронну мережу, яка була навчена розпізнавати конкретні вебсайти та додатки за їхніми унікальними сигнатурами введення-виведення.
Оскільки конфлікт за ресурси виникає на рівні самого накопичувача, атака працює незалежно від використовуваного браузера. Запуск сторінки зловмисника у Chrome в той час, як жертва переглядала сайти в Safari, показав різницю у пропускній здатності всього в 3,38% порівняно з атакою всередині одного й того самого браузера.
Повноцінну атаку з розпізнаванням цифрових відбитків тестували лише на комп’ютері M2 Mac Mini з 8 ГБ оперативної пам’яті та SSD на 256 ГБ. На Linux дослідники підтвердили можливість вимірювання затримки SSD з браузера, проте не запускали повну класифікацію для розпізнавання. Windows не тестували взагалі. Крім того, файл OPFS повинен розміщуватися на тому самому фізичному SSD-диску, де відбувається відстежувана активність, що не гарантується на робочих станціях із кількома накопичувачами.
Наразі найбільшим бар’єром для цієї атаки є величезний розмір файла: більшість людей помітять раптове зникнення десятків або сотень гігабайтів дискового простору. Проте дослідники пропонують способи захисту, зокрема обмеження максимального розміру файлів OPFS, щоб вони вміщувалися в оперативну пам’ять системи, або введення обов’язкових запитів на дозвіл для створення файлів OPFS. Оскільки Google не класифікує фінгерпринтинг як проблему безпеки, виправлення на рівні браузерів у найближчій перспективі малоймовірні.