Niedawno opublikowany artykuł naukowy, po raz pierwszy zauważony przez Ars Technica, ujawnia mechanizm ataku o nazwie FROST. To akronim od “fingerprinting remotely using OPFS-based SSD timing” (zdalne pobieranie odcisków palców za pomocą pomiaru czasu SSD opartego na OPFS). Brzmi skomplikowanie, ale sedno jest proste i niepokojące: umożliwia on złośliwym witrynom szpiegowanie aktywności na komputerze użytkownika. Co kluczowe, dzieje się to bez instalowania jakiegokolwiek oprogramowania i bez konieczności nakłaniania ofiary do klikania podejrzanych linków.
Jak działa ten niewidzialny atak?
Mechanizm FROST opiera się na sprytnym wykorzystaniu dysku SSD (Solid State Drive) – wewnętrznych urządzeń pamięci masowej, które w dużej mierze zastąpiły tradycyjne magnetyczne dyski twarde na rynku konsumenckim. Kiedy odwiedzasz stronę internetową, Twój dysk SSD intensywnie pracuje, pozwalając witrynom przechowywać tymczasowe pliki niezbędne do płynnego przeglądania.
Czytaj także: Przełom w nośnikach pamięci. Ten dysk SSD zmieścisz w slocie na karty SIM
Ataki FROST wykorzystują to w niezwykle przebiegły sposób. Tworzą masywny plik – mówimy tu o kilku gigabajtach– który skutecznie blokuje komputer przed przenoszeniem danych tymczasowych z pamięci podręcznej SSD. Gdy ten olbrzymi plik jest przetwarzany, złośliwa strona internetowa jest w stanie badać czas napływających danych z innych witryn. Zebrane w ten sposób informacje są następnie analizowane przez model uczenia maszynowego, aby przewidzieć, co jeszcze robisz online.
Niepokojąca skuteczność i uniwersalność
Choć “przewidywanie” sugeruje zgadywanie, metoda FROST jest przerażająco skuteczna w identyfikowaniu aktywności ofiary. Naukowcy donoszą, że ich model uczenia maszynowego był w stanie przewidzieć, które strony internetowe odwiedzi użytkownik, z dokładnością aż 88,95 procent. Jeszcze bardziej alarmujące jest to, że mógł trafnie przewidzieć używane aplikacje w 95,83 procentach przypadków.
Co gorsza, cały ten mechanizm działa niezależnie od używanej przeglądarki. Ponieważ atak działa poprzez dysk SSD, teoretycznie napastnik może śledzić przeglądanie sieci w Firefoksie na podstawie witryny, do której uzyskano dostęp za pośrednictwem Google Chrome. Naukowcy eksperymentowali z tą techniką na urządzeniach z systemami Mac i Linux, ale zaznaczyli, że urządzenia z systemem Windows również nie są odporne na ten typ zagrożenia.
Czytaj także: Deepfake’i zalewają polski internet. Problemem przestaje być technologia, tylko nasza łatwowierność
Jak podkreśla główny autor badania, Hannes Weissteiner, w rozmowie z Ars Technica: “Zasadniczo możliwe byłoby wytrenowanie modelu na dowolnej aktywności systemowej, która niezawodnie generuje dostęp do SSD”.
Czy jesteśmy bezbronni? Jak się chronić?
FROST stanowi rodzaj luki, która najprawdopodobniej będzie wymagała załatania przez twórców przeglądarek i systemów operacyjnych. Póki co, Ars Technica sugeruje, że można ograniczyć ryzyko, zamykając karty witryn internetowych natychmiast po zakończeniu korzystania z nich. To niewiele, ale może zapobiec staniu się kolejną ofiarą tego nowego, niepokojącego rodzaju cyberataku. Odkrycie FROST przypomina nam, że w cyfrowym świecie prywatność to ciągła walka, a granice szpiegowania są nieustannie przesuwane.
