За останні десятиліття не бракувало сайтів, які використовують хитрі методи для прихованого відстеження історії переглядів користувачів, відбитків пристроїв, а також введення з клавіатури й рухів миші в режимі реального часу. Нещодавно навіть Meta була спіймана на участі в цій порушуючій приватність “вільній грі”.
Читайте также: Одна з ігор Bethesda назавжди зникне 30 червня
Тепер у сайтів з’явився новий спосіб шпигувати за відвідувачами: вимірювання тонких взаємодій із їхніми твердотільними накопичувачами. Метод, названий FROST (fingerprinting remotely using OPFS-based SSD timing), дозволяє сайтам відстежувати, які інші сайти відкриті у відвідувача та які програми запущені на його пристрої.
Сайд-канал на основі конкуренції за ресурси
Цей метод, описаний у науковій роботі, використовує побічний канал (side channel) — тип витоку інформації, що виникає через фізичні прояви, такі як електромагнітне випромінювання, кешування даних або час виконання операцій. Вимірюючи ці прояви, атакувальники можуть розшифровувати зашифрований трафік і отримувати іншу конфіденційну інформацію.
“Атака FROST використовує так званий канал конкуренції (contention side channel), який вимірює взаємодію різних процесів, що використовують або конкурують за один ресурс”, — пишуть автори дослідження.
Вимірюючи затримки певних I/O (ввід-вивід) операцій SSD, дослідники змогли визначати вебсайти, відкриті в інших вкладках — навіть у різних браузерах — а також програми, запущені на пристрої користувача. FROST не потребує жодної взаємодії користувача, окрім відкриття сайту, що виконує атаку.
“Веб-браузери еволюціонували від простих переглядачів документів до складних платформ, здатних запускати складні застосунки”, — кажуть дослідники. — “Такі компанії як Google, Microsoft і Adobe створили повноцінні офісні пакети, редактори фото та відео або навіть інтегровані середовища розробки (IDE), які працюють повністю в браузері”.
Далі вони зазначають:
“Хоча ці функції розширюють можливості вебзастосунків і відкривають нові сценарії використання, вони також збільшують площу атаки браузера, і деякі з них уже показали нові вразливості”.
На відміну від попередніх атак побічного каналу на SSD, FROST працює виключно в браузері. Він використовує JavaScript, який взаємодіє з OPFS (origin private file system) — виділеним простором сховища, зарезервованим для конкретного сайту для виконання коду, необхідного для певних операцій. Вебсайти можуть створювати його без будь-якої взаємодії користувача.
“Хоча кожна файлова система ізольована (sandboxed), тобто відокремлена від інших сайтів і системи пристрою, JavaScript може вимірювати I/O-взаємодії”, — стверджується у дослідженні.
Далі, пропускаючи ці дані через попередньо навчений згортковий нейронний мережевий алгоритм (CNN) — систему глибокого навчання, що аналізує текст, аудіо та зображення — атакувальник може визначати, які додатки та сайти відкриті на пристрої.
Читайте также: Перша Дружина Залужного: Биография и Личная Жизнь
“Атакувальник безперервно вимірює конкуренцію SSD, виконуючи випадкові читання з великого файлу OPFS”, — пояснюють дослідники. “Затримки читання змінюються через конкуренцію за SSD, спричинену активністю користувача. Навчаючи згорткову нейронну мережу (CNN) на цих даних, атакувальник може ідентифікувати активність користувача на системі, класифікуючи нові дані за допомогою моделі”.
Метод має обмеження. По-перше, файл OPFS має бути надзвичайно великим — ймовірно, гігабайт або більше. Це означає, що масові атаки були б помітні для багатьох користувачів. Крім того, файл OPFS має зберігатися на тому ж SSD, який використовує користувач.
“Зазвичай це не проблема для відстеження відкритих сайтів, оскільки OPFS зберігається у стандартному розташуванні браузера. Але якщо застосунки використовують інший SSD-диск, вони не можуть бути виявлені методом FROST”, — додають дослідники.
Вони провели повну атаку FROST на Mac з чипом M2. У Linux вони показали, що базовий примітив (вимірювання затримок доступу до SSD через JavaScript) працює, але повну атаку не запускали.
“Однак, оскільки продуктивність примітива подібна на macOS і Linux, ми очікуємо схожих результатів і для повної класифікації”, — написав у листі Ганнес Вайсштайнер, один із співавторів. — “У принципі, можна навчити модель на будь-якій системній активності, яка стабільно генерує звернення до SSD”.
Тестування Windows не проводилося. Папір із дослідженням містить набагато більше технічних деталей. Його планують представити на конференції DIMVA у липні. А поки – що робити користувачам?
“Один із найкращих способів захисту від атак FROST — закривати вкладки одразу після використання. Більш досвідчені користувачі можуть відстежувати створення та розмір файлів OPFS, які створюють невідомі сайти”, — пише портал ArsTechnica.
Дослідники також запропонували способи, якими розробники браузерів можуть усунути цей канал витоку. Один із них — обмеження максимального розміру таких файлів. Наразі поки що немає ознак, що атаки FROST застосовуються в реальних умовах.
Читайте также: Саша Пітерс зіграє Розмарі Кеннеді у психологічному трилері “Rosemary” про трагічну долю сестри
Джерело: ArsTechnica
