Исследователи научились шпионить за серфингом в интернете через задержки SSD

Исследователи из Грацского технического университета (Австрия) опубликовали доклад, в котором описывается атака по побочным каналам, позволяющая вредоносному веб-сайту определять, какие другие сайты и приложения открыты у посетителя. Это достигается путем измерения задержек доступа к SSD с помощью JavaScript в рамках стандартной изолированной среды браузера. Техника, названная FROST (Fingerprinting Remotely using OPFS-based SSD Timing), на тестовом Mac правильно идентифицировала посещенные веб-сайты с точностью около 89%, а запущенные приложения — с точностью около 96%. Для атаки жертве достаточно лишь зайти на страницу злоумышленника, и она работает в разных браузерах.

FROST использует Origin Private File System (OPFS) — API браузера, который позволяет веб-сайтам создавать и хранить файлы на локальном диске пользователя без запроса разрешения. Предыдущие атаки по побочным каналам на SSD требовали выполнения нативного кода через привилегированные интерфейсы ядра, но FROST устраняет это требование.

Команда исследователей сообщила о своих находках компаниям Google, Apple и Mozilla. В Google заявили, что не считают снятие цифрового отпечатка (fingerprinting) уязвимостью безопасности. В Apple назвали атаку «выходящей за рамки текущего рассмотрения». Mozilla приняла выводы к сведению, но не внедрила исправлений.

Атака создает большой файл OPFS на SSD жертвы. Chrome и Safari позволяют веб-сайту занять до 60% всего дискового пространства через OPFS, что на накопителе объемом 256 ГБ составляет более 150 ГБ. Файл должен превышать объем доступной оперативной памяти системы, чтобы каждое случайное чтение 4 КБ обращалось к SSD, а не к кешу страниц ОС. Когда другая активность генерирует собственный ввод-вывод на диск, это создает измеримые всплески задержек в операциях чтения атакующего. Эти временные паттерны затем подаются на вход сверточной нейронной сети, обученной распознавать конкретные веб-сайты и приложения по их сигнатурам ввода-вывода.

Поскольку конкуренция за ресурсы происходит на уровне хранилища, атака работает в разных браузерах. Запуск страницы атакующего в Chrome в то время, как жертва просматривала сайты в Safari, показал разницу в пропускной способности всего в 3,38% по сравнению с атакой в рамках одного браузера.

Полная атака с распознаванием была протестирована только на M2 Mac Mini с 8 ГБ ОЗУ и SSD на 256 ГБ. В Linux исследователи подтвердили возможность измерения задержек SSD из браузера, но не проводили полную классификацию. Windows не тестировалась вовсе. Кроме того, файл OPFS должен находиться на том же физическом SSD, что и отслеживаемая активность, что не гарантируется на рабочих станциях с несколькими дисками.

Самым большим препятствием для этой атаки является огромный размер файла. Большинство людей заметят внезапное исчезновение десятков или сотен гигабайт. Однако исследователи предлагают меры защиты, включая ограничение размера файлов OPFS объемом оперативной памяти или требование явного разрешения на их создание. Учитывая, что Google не классифицирует снятие цифрового отпечатка как проблему безопасности, исправления на уровне браузера в ближайшее время маловероятны.

Источник: Tomshardware.com