Weby majú nový spôsob, ako ťa sledovať. Nepotrebujú k tomu cookies ani tvoje povolenie, stačí im sledovať odozvu úložiska
Nová technika FROST ukazuje, že webová stránka môže podľa drobných zmien v rýchlosti úložiska odhadnúť, aké karty alebo aplikácie máš práve otvorené.
Bezpečnostní analytici odhalili techniku s názvom FROST, ktorá umožňuje webovým stránkam zistiť viac o tvojej aktivite, než by si pravdepodobne očakával. Znepokojivé je, že metóda si nevyžaduje žiadne špeciálne oprávnenia alebo nástroje, stačí jej obyčajný internetový prehliadač.
Rozdiel metódy FROST oproti bežným útokom je ten, že sa nezameriava na súbory cookies, históriu prehliadania ani na klasický fingerprinting zariadenia. Namiesto toho analyzovala správanie SSD disku v počítači. Práve z týchto údajov dokázali výskumníci odvodiť, aké webové stránky máš otvorené a dokonca aj to, ktoré aplikácie práve používaš.
Moderné webové prehliadače totiž už dávno neslúžia iba na zobrazovanie internetových stránok, informuje Ars Technica. Dnes zvládnu kancelárske balíky, editory fotografií, programovanie či náročné webové aplikácie. Spolu s dodatočnými funkciami a službami však rastie aj počet potenciálnych bezpečnostných problémov. Práve tie zneužíva nová technika FROST, ktorej názov vznikol zo slovného spojenia Fingerprinting Remotely using OPFS-based SSD Timing.
Bezpečnostní analytici vysvetľujú, že ide o metódu, ktorá analyzuje čas potrebný na vykonanie určitých operácií na SSD disku. Aj veľmi malé rozdiely v odozve totiž môžu odhaliť, čo sa deje na zariadení. FROST patrí medzi takzvané side-channel útoky, teda útoky cez vedľajší kanál. Namiesto priameho prístupu k dátam sleduje sprievodné javy. Môže ísť napríklad o spotrebu energie, elektromagnetické žiarenie alebo čas potrebný na vykonanie konkrétnej operácie. V tomto prípade zohrala hlavnú úlohu aktivita SSD disku.
Takto metóda FROST funguje
Keď používateľ otvorí webovú stránku obsahujúcu škodlivý kód, stránka začne vykonávať sériu operácií na lokálnom úložisku. Následne meria, ako rýchlo SSD reaguje. Ak súčasne pracuje iná aplikácia alebo ďalšia otvorená karta v prehliadači, odozva sa mierne zmení. A práve tieto odchýlky vytvoria jedinečný vzor.
Neprehliadni
Samotné meranie by nestačilo, keďže rozdiely v aktivite SSD sú malé a človeku by veľa nepovedali. Výskumníci preto zapojili aj strojové učenie. Nazbierané údaje poslali do konvolučnej neurónovej siete, teda typu umelej inteligencie, ktorá sa často využíva pri rozpoznávaní obrazov alebo zvukov. Po natrénovaní model dokázal rozpoznať konkrétnu aktivitu používateľa.
„Útočník nepretržite meria zaťaženie SSD pomocou náhodných čítaní z veľkého súboru OPFS. Rozdiely v latencii potom umožnia identifikáciu používateľskej aktivity,“ vysvetlili autori.
Výskumníci zároveň upozornili, že FROST nie je dokonalý. Najväčšou prekážkou je potreba veľmi veľkého súboru OPFS. Aby útok fungoval, OPFS súbor musí mať približne jeden gigabajt, čo je veľkosť, ktorú si užívatelia zbehlejší v IT môžu ľahko všimnúť a útok odhaliť.
Obmedzenie vzniká aj pri zariadeniach s viacerými diskami. Ak sa aplikácie nachádzajú na inom SSD než prehliadač, technika nemusí fungovať správne. Autori testovali plnú verziu útoku na počítači Apple Mac s procesorom M2. Na systéme Linux overili základný princíp fungovania. Windows zatiaľ neprešiel kompletným testovaním.
Útoky pomocou tejto metódy zatiaľ analytici nezaznamenali vo svete
Dobrou správou je, že výskumníci zatiaľ nenašli dôkazy o reálnom zneužití tejto techniky na internete. Výrobcovia prehliadačov navyše môžu problém riešiť pomerne jednoduchými opatreniami. Jednou z možností je napríklad obmedzenie maximálnej veľkosti súborov, ktoré stránky ukladajú cez OPFS.
Používatelia môžu riziko znížiť aj sami. Stačí, ak budeš karty v prehliadači zatvárať hneď, ako už nebudú potrebné. Rovnako môže pomôcť aj kontrola veľkých súborov, ktoré prehliadač ukladá do počítača.
Moderné webové technológie ponúkajú čoraz viac možností, no spolu s nimi rastie aj počet netradičných spôsobov sledovania. Hoci FROST ukázal svoje riziká iba v rámci testovania, výskumníci nepopierajú možnosť, že by si ho mohli hackeri v budúcnosti prisvojiť. Hoci útok nemusí fungovať spoľahlivo, nepracuje s invazívnymi nástrojmi, ako väčšina škodlivého softvéru na internete.
