Исследователи безопасности из Грацского технического университета в Австрии опубликовали документ, описывающий атаку по побочным каналам, которая позволяет вредоносному веб-сайту определять, какие еще сайты и приложения открыты у посетителя, измеряя задержку доступа к SSD через JavaScript внутри стандартной песочницы браузера. Эта техника, получившая название FROST (Fingerprinting Remotely using OPFS-based SSD Timing), с точностью около 89% правильно идентифицировала посещенные веб-сайты и с точностью около 96% — запущенные приложения на тестовом Mac; она не требует от жертвы ничего, кроме посещения страницы злоумышленника, и работает в разных браузерах. FROST использует Origin Private File System (OPFS) — браузерный API, который позволяет веб-сайтам создавать и хранить файлы на локальном диске пользователя без запроса разрешения. Предыдущие атаки по побочным каналам на SSD, которые мы видели, требовали выполнения нативного кода через привилегированные интерфейсы ядра, но FROST устраняет это требование. Команда уведомила Google, Apple и Mozilla: Google заявил, что не считает фингерпринтинг уязвимостью безопасности, Apple назвала атаку «в настоящее время выходящей за рамки», а Mozilla признала результаты, не внедрив исправлений. Атака создает большой OPFS-файл на SSD жертвы, причем Chrome и Safari позволяют веб-сайту занять до 60% общего дискового пространства через OPFS, что на диске объемом 256 ГБ составляет более 150 ГБ. Файл должен превышать объем доступной оперативной памяти системы, чтобы каждое случайное чтение размером 4 КБ попадало на SSD, а не в кэш страниц ОС. Когда другая активность генерирует собственный ввод-вывод диска, это создает измеримые скачки задержки в операциях чтения злоумышленника, и эти временные шаблоны подаются в сверточную нейронную сеть, обученную распознавать конкретные веб-сайты и приложения по их сигнатурам ввода-вывода. Поскольку конфликты происходят на уровне хранения данных, атака работает в разных браузерах: запуск страницы злоумышленника в Chrome при просмотре жертвой в Safari показал разницу в пропускной способности всего 3,38% по сравнению с атакой в том же браузере. Полноценная атака фингерпринтинга была протестирована только на M2 Mac Mini с 8 ГБ ОЗУ и SSD на 256 ГБ. На Linux исследователи подтвердили возможность измерения задержки SSD из браузера, но не проводили полную классификацию фингерпринтинга, а Windows не тестировалась вовсе. OPFS-файл также должен находиться на том же физическом SSD, что и отслеживаемая активность, что не гарантируется на рабочих станциях с несколькими дисками. Самым большим препятствием для этой атаки является большой размер файла; большинство людей заметят внезапное исчезновение десятков или сотен гигабайт, но исследователи предлагают меры по смягчению последствий, включая ограничение размеров OPFS-файлов объемом, помещающимся в системную память, или требование явного разрешения на создание OPFS-файлов. Учитывая, что Google не классифицирует фингерпринтинг как проблему безопасности, исправления на уровне браузеров в ближайшее время маловероятны.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Luke James
