- Автор темы
- #1
Исследователи из Грацского технического университета и компании Liebherr-Transportation Systems описали новую технику, которая позволяет сайтам отслеживать открытые вкладки и запущенные приложения, анализируя активность SSD прямо через браузер. Метод получил название FROST (Fingerprinting Remotely using OPFS-based SSD Timing) и не требует от жертвы ничего, кроме открытия вредоносного сайта.
FROST представляет собой side-channel-атаку, где вместо прямого доступа к информации анализируются косвенные признаки: задержки, кеш, электромагнитные сигналы, время выполнения операций и так далее. В данном случае исследователи сосредоточились на SSD и измерении задержек при операциях ввода-вывода.
Лежащая в основе FROST идея проста: несколько процессов конкурируют за один и тот же ресурс, а злоумышленник измеряет возникающие при этом задержки. Исследователи продемонстрировали, что по активности SSD можно определить, какие сайты открыты у пользователя в других вкладках (и даже в других браузерах), а также какие приложения работают на устройстве.
Авторы исследовательской работы отмечают, что современные браузеры давно превратились в полноценные платформы для запуска сложных приложений. В браузере теперь работают IDE, офисные пакеты, редакторы фото и видео. Но вместе с новыми возможностями растет и поверхность атаки.
Демонстрацию атаки исследователи провели на MacBook с чипом M2. В Linux они подтвердили работоспособность базового механизма измерения задержек SSD через JavaScript, однако не тестировали сценарий атаки полностью. Машины под управлением Windows специалисты пока и вовсе не изучали.
FROST полностью работает через браузер и использует JavaScript и OPFS (Origin Private File System) — изолированное файловое пространство, которое сайты могут создавать для хранения данных и выполнения задач. Хотя OPFS изолировано от других сайтов и системы, JavaScript все равно может измерять задержки для операций чтения и записи.
Затем собранные данные обрабатываются с помощью предварительно обученной сверточной нейросети (Convolutional Neural Network, CNN). Исследователи объясняют, что вредоносный скрипт постоянно выполняет чтение случайных участков большого файла в OPFS. Если пользователь в это время активно работает с другими приложениями или вкладками, SSD начинает отвечать с разными задержками. Нейросеть анализирует эти паттерны и сопоставляет их с конкретной активностью.
Подчеркивается, что у FROST есть и ограничения. Во-первых, для атаки требуется очень большой OPFS-файл (вероятно, объемом не менее гигабайта). Из-за этого масштабные атаки могут привлечь внимание пользователя. Во-вторых, OPFS должен находиться на том же SSD, где работает отслеживаемое приложение. Если программа установлена на отдельном накопителе, FROST не сможет зафиксировать ее активность.
Исследователи считают, что один из самых простых способов защиты от подобных атак — привычка закрывать ненужные вкладки. Более опытным пользователям рекомендуют следить за появлением крупных OPFS-файлов, создаваемых неизвестными сайтами. Также авторы исследования предлагают разработчикам браузеров ограничить максимальный размер таких файлов, чтобы усложнить эксплуатацию.
Более подробно о FROST и технических аспектах атаки специалисты обещают рассказать в июле, на конференции DIMVA.
FROST представляет собой side-channel-атаку, где вместо прямого доступа к информации анализируются косвенные признаки: задержки, кеш, электромагнитные сигналы, время выполнения операций и так далее. В данном случае исследователи сосредоточились на SSD и измерении задержек при операциях ввода-вывода.
Лежащая в основе FROST идея проста: несколько процессов конкурируют за один и тот же ресурс, а злоумышленник измеряет возникающие при этом задержки. Исследователи продемонстрировали, что по активности SSD можно определить, какие сайты открыты у пользователя в других вкладках (и даже в других браузерах), а также какие приложения работают на устройстве.
Авторы исследовательской работы отмечают, что современные браузеры давно превратились в полноценные платформы для запуска сложных приложений. В браузере теперь работают IDE, офисные пакеты, редакторы фото и видео. Но вместе с новыми возможностями растет и поверхность атаки.
Демонстрацию атаки исследователи провели на MacBook с чипом M2. В Linux они подтвердили работоспособность базового механизма измерения задержек SSD через JavaScript, однако не тестировали сценарий атаки полностью. Машины под управлением Windows специалисты пока и вовсе не изучали.
FROST полностью работает через браузер и использует JavaScript и OPFS (Origin Private File System) — изолированное файловое пространство, которое сайты могут создавать для хранения данных и выполнения задач. Хотя OPFS изолировано от других сайтов и системы, JavaScript все равно может измерять задержки для операций чтения и записи.
Затем собранные данные обрабатываются с помощью предварительно обученной сверточной нейросети (Convolutional Neural Network, CNN). Исследователи объясняют, что вредоносный скрипт постоянно выполняет чтение случайных участков большого файла в OPFS. Если пользователь в это время активно работает с другими приложениями или вкладками, SSD начинает отвечать с разными задержками. Нейросеть анализирует эти паттерны и сопоставляет их с конкретной активностью.
Подчеркивается, что у FROST есть и ограничения. Во-первых, для атаки требуется очень большой OPFS-файл (вероятно, объемом не менее гигабайта). Из-за этого масштабные атаки могут привлечь внимание пользователя. Во-вторых, OPFS должен находиться на том же SSD, где работает отслеживаемое приложение. Если программа установлена на отдельном накопителе, FROST не сможет зафиксировать ее активность.
Исследователи считают, что один из самых простых способов защиты от подобных атак — привычка закрывать ненужные вкладки. Более опытным пользователям рекомендуют следить за появлением крупных OPFS-файлов, создаваемых неизвестными сайтами. Также авторы исследования предлагают разработчикам браузеров ограничить максимальный размер таких файлов, чтобы усложнить эксплуатацию.
Более подробно о FROST и технических аспектах атаки специалисты обещают рассказать в июле, на конференции DIMVA.