Dysk zdradza jakie karty i aplikacje masz otwarte. Nowe zagrożenie w sieci

Badacze z Uniwersytetu Technicznego w Grazu (TU Graz) opisali zupełnie nowy mechanizm inwigilacji użytkowników, nazwany FROST. Pozwala on stronom internetowym na podglądanie aktywności komputera wyłącznie poprzez analizę pracy nośnika SSD. Co istotne, proces ten odbywa się bez konieczności instalowania jakichkolwiek dodatków, bez wyświetlania okienek dialogowych i bez pytania użytkownika o zgodę - czytamy/

Zjawisko to opiera się na tak zwanych kanałach bocznych (side channels). Zamiast wykradać konkretne dane, system wnioskuje o działaniu komputera na podstawie skutków ubocznych jego pracy. W przypadku ataku FROST, który staje się nowym wyzwaniem dla specjalistów dbających o cyberbezpieczeństwo, kluczowe jest współdzielenie zasobów dyskowych przez różne procesy - podaje spidersweb.pl.

Kiedy kilka programów jednocześnie korzysta z tego samego nośnika SSD, czas odczytu danych ulega mikroskopijnym zmianom, które okazują się na tyle charakterystyczne, że pozwalają zidentyfikować konkretne działania użytkownika.

Fundamentem tego zagrożenia jest wbudowany w nowoczesne przeglądarki mechanizm OPFS (Origin Private File System). Zgodnie z informacjami przekazanymi przez Spider's Web, funkcja ta pozwala witrynom na tworzenie własnych, prywatnych plików na dysku internauty bez jego wiedzy.

Złośliwa strona może wygenerować plik o gigantycznym rozmiarze, a następnie wykonywać na nim szybkie operacje odczytu. Mierząc opóźnienia wywołane przez inne programy, strona tworzy swoisty "odcisk palca" aktualnej aktywności sprzętu, co dowodzi, jak zaawansowane stają się współczesne technologie służące do profilowania użytkowników.

Testy przeprowadzone przez naukowców na systemach macOS oraz Linux wykazały wysoką skuteczność tej metody. Badaczom udało się z dużym prawdopodobieństwem ustalić, jakie inne serwisy internetowe użytkownik ma otwarte w tle, a także jakie aplikacje systemowe zostały uruchomione.

Co więcej, atak ten funkcjonuje ponad podziałami na konkretne programy, co oznacza, że jedna przeglądarka może skutecznie analizować aktywność innej, ponieważ elementem wspólnym pozostaje fizyczny dysk.

Mechanizm FROST posiada jednak pewne ograniczenia technologiczne. Aby atak był skuteczny, przeglądarka musi mieć możliwość utworzenia bardzo dużego pliku, a podsłuchiwane aplikacje muszą znajdować się na tym samym fizycznym nośniku. Dodatkowo, uważny użytkownik mógłby zauważyć nagły spadek dostępnego miejsca na dysku, choć w codziennym użytkowaniu rzadko zwraca się na to bieżącą uwagę.

Obecnie opisywany problem ma charakter pracy naukowej i nie zaobserwowano jeszcze jego wykorzystania na masową skalę. Autorzy publikacji ze Spider's Web przypominają jednak, że podobną drogę przeszły w przeszłości głośne luki sprzętowe, takie jak Meltdown czy Spectre, które początkowo również funkcjonowały jedynie w warunkach laboratoryjnych.

Zabezpieczenie się przed nowym typem ataku nie jest proste, ponieważ systemowe ograniczenie funkcji OPFS uderzyłoby w legalnie działające aplikacje, na których opiera się dzisiejszy internet i które faktycznie potrzebują dużej przestrzeni dyskowej.

Eksperci wskazują, że każda próba odgórnego zablokowania tego procederu niesie za sobą negatywne konsekwencje dla wydajności lub wygody korzystania z sieci. Dlatego na ten moment najprostszą i najbardziej praktyczną radą płynącą z badań jest regularne zamykanie kart w przeglądarce, z których w danej chwili nie korzystamy. Odkrycie zespołu z TU Graz pokazuje wyraźnie, że współczesne przeglądarki, otrzymując coraz więcej uprawnień, stają się środowiskami równie skomplikowanymi i podatnymi na nieoczekiwane luki, co same systemy operacyjne.

Źródło: spidersweb.pl