Znanstvenici su otkrili novu metodu nadzora koja ide korak dalje od klasičnog praćenja korisnika u web pregledniku. Umjesto kolačića ili otiska preglednika, ova ta nova metoda koristi način na koji računalo pristupa SSD disku kako bi zaključila što korisnik radi.
Riječ je o metodi nazvanoj FROST (engl. fingerprinting remotely using OPFS-based SSD timing), koja omogućuje da neka internetska stranica, nakon što je korisnik otvori, počne analizirati suptilne razlike u brzini rada SSD diska i iz toga izvlači zaključke o aktivnostima korisnika na njihovu uređaju.
Kako napad zapravo funkcionira?
Napad se pokreće preko obične web stranice koju korisnik posjeti. Ta stranica može izgledati potpuno normalno, ali u pozadini izvršava skriveni JavaScript kod.
"Web preglednici evoluirali su od jednostavnih preglednika dokumenata u složene platforme sposobne pokretati sofisticirane aplikacije", napisali su autori istraživanja koje će u srpnju biti predstavljeno na konferenciji DIMVA o kibernetičkoj sigurnosti u Grčkoj, a prenosi portal Ars Technica. Dodali su i da su “te mogućnosti povećale opseg kibernetičkih napada i uvele nove ranjivosti".
FROST koristi tzv. Origin Private File System (OPFS), dio preglednika koji web stranicama daje izolirani prostor za pohranu podataka.
Napadačka stranica u tom prostoru stalno čita veliku datoteku i mjeri koliko brzo SSD disk odgovara. Male razlike u brzini pristupa otkrivaju kada korisnik u pozadini otvara druge kartice, prozore ili aplikacije.
"Napadač kontinuirano mjeri SSD opterećenje izvođenjem slučajnih čitanja iz velike OPFS datoteke. Opterećenje SSD-a uzrokovano aktivnošću korisnika stvara mjerljive razlike u latenciji tih operacija. Uvježbavanjem neuronske mreže napadač može i prepoznati obrasce aktivnosti korisnika", pojasnili su autori navedenog istraživanja.
Što napadač može vidjeti?
Na temelju tih signala moguće je zaključiti:
– koje web-stranice su otvorene u drugim karticama
– koje aplikacije rade na računalu
– čak i aktivnosti izvan samog preglednika
Napad ne zahtijeva nikakvu interakciju korisnika osim posjeta stranici.
Ograničenja napada, preporuke za zaštitu i realan rizik za korisnike
FROST, međutim, ima jasna ograničenja. Potrebna je vrlo velika datoteka u pregledniku, što može otkriti sumnjivo ponašanje web stranice. Također, SSD mora biti isti na kojem se nalaze podaci koje se pokušava "čitati" kroz latenciju.
Ako se aplikacije nalaze na drugom disku, napad ne može vidjeti njihovu aktivnost.
Autori navedenog istraživanja navode da zasad nema dokaza da se FROST koristi u stvarnim napadima, što je dobra vijest.
Kao zaštitu preporučuju zatvaranje nepotrebnih kartica i praćenje sumnjivih web-stranica koje stvaraju velike datoteke u pregledniku. Predlažu i ograničavanje maksimalne veličine takvih datoteka na razini preglednika.
Otkriće je napravljeno u testiranjima na M2 Mac računalu, a djelomično i na Linux operativnom sustavu. Operativni sustav Windows nije bio uključen u testiranje.