Новая уязвимость позволяет веб-сайтам шпионить за компьютером через SSD
Специалисты по кибербезопасности из Австрии описали новый метод слежки за пользователями, который позволяет веб-сайтам получать информацию о действиях на компьютере через твердотельный накопитель (SSD). Техника получила название FROST — Fingerprinting Remotely using OPFS-based SSD Timing.
Особенность атаки заключается в том, что для её проведения не требуется установка программ, открытие вредоносных вложений или переход по подозрительным ссылкам. Достаточно посещения специального сайта.
Метод использует особенности работы SSD-накопителей и механизмов хранения временных данных в браузере. После открытия сайта вредоносная страница создаёт файл объёмом в несколько гигабайт. Это заставляет накопитель активно обрабатывать операции записи и чтения данных.
Пока SSD занят обработкой такого файла, сайт начинает измерять задержки при доступе к данным. Эти временные характеристики зависят от других процессов, происходящих на накопителе. Анализируя изменения задержек и используя модель машинного обучения, злоумышленник может сделать выводы о том, какие ещё сайты или приложения используются на компьютере пользователя.
По данным авторов исследования, разработанная ими система смогла определить посещаемые веб-сайты с точностью 88,95%. Для приложений результат оказался ещё выше — 95,83%.
Иллюстрация: Nano BananaОсобую обеспокоенность вызывает то, что атака работает независимо от конкретного браузера. Поскольку анализируется активность накопителя, сайт, открытый, например, в Google Chrome, теоретически способен получать информацию о действиях пользователя в Mozilla Firefox или других программах.
Эксперименты проводились на компьютерах под управлением Linux и macOS. При этом авторы работы подчёркивают, что сама концепция не ограничивается этими платформами и потенциально может применяться и против систем Windows.
По словам ведущего автора исследования Ханнеса Вайсштайнера (Hannes Weissteiner), теоретически модель можно обучить распознавать практически любую активность, которая регулярно вызывает обращения к SSD. Это означает, что область применения подобных атак может оказаться значительно шире простого отслеживания посещаемых сайтов.
FROST относится к категории атак на основе цифрового «отпечатка» устройства. В отличие от традиционных методов слежки вроде cookie-файлов, пикселей отслеживания или анализа параметров браузера, новый подход использует физические особенности работы накопителя и потому может оказаться сложнее для обнаружения и блокировки.
Пока исследователи не предлагают готового решения проблемы. По мнению авторов, устранение уязвимости потребует изменений в браузерах и веб-технологиях, которые позволяют сайтам получать доступ к механизмам хранения данных подобным образом.
В качестве временной меры специалисты рекомендуют закрывать вкладки сразу после завершения работы с сайтами. Это не устраняет саму уязвимость, но уменьшает время, в течение которого веб-страница может собирать информацию о действиях пользователя.
Исследование показывает, что даже без доступа к камере, микрофону или установленным программам современные сайты могут находить всё новые способы наблюдения за пользователями. В данном случае источником информации неожиданно оказался обычный SSD-накопитель, который до сих пор практически не рассматривался как инструмент для удалённого отслеживания активности.
© iXBT
