Протягом останніх десятиліть з’явилося безліч сайтів, які використовують хитромудрі методи для таємного моніторингу історії переглядів користувачів, відбитків пристроїв, а також введення з клавіатури і рухів миші в реальному часі. Нещодавно навіть Meta була викрита у причетності до цього порушуючого приватність “вільного полювання”.
Тепер у сайтів з’явився новий спосіб шпигувати за відвідувачами: вимірювання тонких взаємодій з їхніми твердотільними накопичувачами. Метод, відомий як FROST (fingerprinting remotely using OPFS-based SSD timing), дозволяє сайтам відстежувати, які інші сайти відкриті у відвідувача та які програми запущені на його пристрої.
Сайд-канал на основі конкуренції за ресурси
Цей метод, описаний у науковій статті, використовує побічний канал (side channel) — тип витоку інформації, що виникає через фізичні прояви, такі як електромагнітне випромінювання, кешування даних або час виконання операцій. Вимірюючи ці прояви, зловмисники можуть розшифровувати зашифрований трафік і отримувати іншу конфіденційну інформацію.
“Атака FROST використовує так званий канал конкуренції (contention side channel), який вимірює взаємодію різних процесів, що використовують або конкурують за один ресурс”, — зазначають автори дослідження.
Вимірюючи затримки певних I/O (ввід-вивід) операцій SSD, дослідники змогли визначати вебсайти, відкриті в інших вкладках — навіть у різних браузерах — а також програми, запущені на пристрої користувача. FROST не вимагає жодної взаємодії з боку користувача, окрім відкриття сайту, що виконує атаку.
“Веб-браузери еволюціонували від простих переглядачів документів до складних платформ, здатних запускати розгорнуті застосунки”, — кажуть дослідники. — “Такі компанії, як Google, Microsoft і Adobe, створили повноцінні офісні пакети, редактори фото та відео або навіть інтегровані середовища розробки (IDE), які працюють повністю в браузері”.
Далі вони зазначають:
“Хоча ці функції розширюють можливості вебзастосунків і відкривають нові сценарії використання, вони також збільшують площу атаки браузера, і деякі з них вже продемонстрували нові вразливості”.
На відміну від попередніх атак побічного каналу на SSD, FROST функціонує виключно в браузері. Він використовує JavaScript, який взаємодіє з OPFS (origin private file system) — виділеним простором зберігання, зарезервованим для конкретного сайту для виконання коду, необхідного для певних операцій. Вебсайти можуть створювати його без будь-якої взаємодії з користувачем.
“Хоча кожна файлова система ізольована (sandboxed), тобто відокремлена від інших сайтів і системи пристрою, JavaScript може вимірювати I/O-взаємодії”, — стверджується у дослідженні.
Далі, пропускаючи ці дані через попередньо навчений згортковий нейронний мережевий алгоритм (CNN) — систему глибокого навчання, що аналізує текст, аудіо та зображення — зловмисник може визначати, які додатки та сайти відкриті на пристрої.
“Зловмисник безперервно вимірює конкуренцію SSD, виконуючи випадкові читання з великого файлу OPFS”, — пояснюють дослідники. “Затримки читання змінюються через конкуренцію за SSD, спричинену активністю користувача. Навчаючи згорткову нейронну мережу (CNN) на цих даних, зловмисник може ідентифікувати активність користувача на системі, класифікуючи нові дані за допомогою моделі”.
Метод має обмеження. По-перше, файл OPFS має бути надзвичайно великим — ймовірно, гігабайт або більше. Це означає, що масові атаки були б помітні для багатьох користувачів. Крім того, файл OPFS має зберігатися на тому ж SSD, який використовує користувач.
СпецпроєктиНайтонший робот-пилосос в Україні: що варто знати про Dreame X60 Ultra CompleteДе купувати техніку Apple у 2026 році: 5 магазинів із найкращим сервісом
“Зазвичай це не проблема для відстеження відкритих сайтів, оскільки OPFS зберігається у стандартному розташуванні браузера. Але якщо застосунки використовують інший SSD-диск, вони не можуть бути виявлені методом FROST”, — додають дослідники.
Вони провели повну атаку FROST на Mac з чипом M2. У Linux вони продемонстрували, що базовий примітив (вимірювання затримок доступу до SSD через JavaScript) працює, але повну атаку не запускали.
“Однак, оскільки продуктивність примітива подібна на macOS і Linux, ми очікуємо схожих результатів і для повної класифікації”, — написав у листі Ганнес Вайсштайнер, один із співавторів. — “У принципі, можна навчити модель на будь-якій системній активності, яка стабільно генерує звернення до SSD”.
Тестування Windows не проводилося. Папір із дослідженням містить набагато більше технічних деталей. Його планують представити на конференції DIMVA у липні. А поки — що робити користувачам?
“Один із найкращих способів захисту від атак FROST — закривати вкладки одразу після використання. Більш досвідчені користувачі можуть відстежувати створення та розмір файлів OPFS, які створюють невідомі сайти”, — пише портал ArsTechnica.
Дослідники також запропонували способи, якими розробники браузерів можуть усунути цей канал витоку. Один із них — обмеження максимального розміру таких файлів. Наразі поки що немає ознак, що атаки FROST застосовуються в реальних умовах.
Всього 3 налаштування браузера: як сховатися від шпигування провайдера без VPN
Джерело: ArsTechnica
Це тривожне відкриття, яке ще раз підкреслює необхідність посилення захисту приватності в браузерах і ОС. Відчуваю, що скоро доведеться уважніше ставитись до встановлених програм і сайтів.
Абсолютно вірно. Захист приватності стає пріоритетом, тож варто регулярно оновлювати браузери, використовувати розширення для безпеки і ретельно перевіряти дозволи встановлених програм. Обережність – найкращий захист у цифровому світі.