Zwykła strona internetowa może szpiegować twój komputer przez dysk SSD. Oto jak to działa

Internet od lat przypomina pole nieustannej walki o prywatność użytkowników. Reklamodawcy, firmy analityczne i właściciele serwisów regularnie szukają nowych metod śledzenia aktywności internautów. Tym razem badacze bezpieczeństwa opisali technikę, która może wzbudzić wyjątkowy niepokój. Okazuje się, że strony internetowe potrafią analizować aktywność dysku SSD użytkownika bez instalowania żadnego programu i bez proszenia o dodatkowe uprawnienia.

Nowa metoda nosi nazwę FROST i według ekspertów pozwala ustalić, jakie aplikacje działają na komputerze oraz jakie strony są otwarte w innych kartach przeglądarki. Wszystko odbywa się przy użyciu zwykłego kodu JavaScript uruchamianego po wejściu na stronę internetową.

SSD staje się źródłem informacji o użytkowniku

Do tej pory internauci przyzwyczaili się do ciasteczek, fingerprintingu urządzeń czy śledzenia ruchów myszy. Teraz badacze pokazali kolejny poziom zbierania danych. Tym razem celem stał się dysk SSD. Mechanizm FROST wykorzystuje tak zwany kanał boczny oparty na opóźnieniach wejścia i wyjścia danych. W praktyce oznacza to obserwowanie czasu reakcji dysku podczas wykonywania konkretnych operacji. Nawet niewielkie różnice pozwalają wyciągać zaskakująco dokładne wnioski na temat aktywności użytkownika.

Badacze opisali, że wystarczy odpowiednio przygotowany skrypt JavaScript uruchomiony w przeglądarce. Taki kod może mierzyć opóźnienia podczas odczytu danych z pamięci masowej i na tej podstawie rozpoznawać zachowania systemu.

Jedna karta może obserwować inne strony

Najbardziej niepokojący element całego eksperymentu dotyczy możliwości identyfikowania innych witryn otwartych przez użytkownika. Według autorów badań FROST potrafi wykrywać aktywność w innych kartach, a nawet w innych przeglądarkach uruchomionych na tym samym komputerze.

Eksperci wykorzystali do tego specjalnie wytrenowaną sieć neuronową analizującą wzorce aktywności dysku SSD. Każda aplikacja i każda strona generuje charakterystyczny schemat operacji wejścia i wyjścia danych. Algorytm uczy się rozpoznawać te wzorce podobnie jak systemy rozpoznawania obrazów identyfikują twarze.

W efekcie strona internetowa może próbować ustalić, czy użytkownik ma otwarte konkretne aplikacje biurowe, komunikatory albo inne serwisy internetowe.

Wszystko działa w zwykłej przeglądarce

Największe zaskoczenie budzi fakt, że atak nie wymaga instalowania malware ani przejęcia systemu. Całość odbywa się wyłącznie w przeglądarce internetowej.

FROST korzysta z technologii OPFS, czyli Origin Private File System. To specjalna przestrzeń dyskowa przypisana do konkretnej witryny. Współczesne przeglądarki pozwalają aplikacjom internetowym przechowywać tam dane lokalnie, aby działały szybciej i sprawniej.

Badacze odkryli jednak, że OPFS może posłużyć także do analizowania aktywności dysku SSD. Wystarczy utworzyć odpowiednio duży plik i stale wykonywać operacje odczytu danych. Każde spowolnienie ujawnia aktywność innych procesów korzystających z pamięci masowej.

Apple podatne, Linux częściowo odporny

Pełny atak udało się przeprowadzić na komputerze Apple z procesorem M2. Badacze pokazali, że mechanizm działa skutecznie w środowisku macOS i pozwala rozpoznawać aktywność użytkownika z wysoką dokładnością.

Linux okazał się trudniejszym celem. Naukowcy potwierdzili możliwość mierzenia opóźnień dysku SSD przez JavaScript, jednak nie udało im się ukończyć pełnego procesu klasyfikacji aktywności. Mimo to autorzy raportu są przekonani, że dalsze eksperymenty mogą doprowadzić do podobnych rezultatów.

System Windows nie został jeszcze dokładnie przebadany pod kątem FROST.

Przeglądarki mogą mieć poważny problem

Eksperci od bezpieczeństwa zwracają uwagę, że nowoczesne przeglądarki coraz bardziej przypominają pełnoprawne systemy operacyjne. Obsługują aplikacje biurowe, edytory wideo, narzędzia programistyczne i zaawansowane platformy webowe. Każda nowa funkcja zwiększa wygodę użytkowników, ale jednocześnie tworzy nowe możliwości nadużyć.

Badacze proponują już pierwsze metody ograniczenia ryzyka. Jednym z pomysłów jest zmniejszenie maksymalnego rozmiaru plików OPFS dostępnych dla witryn internetowych. Pomóc może również dokładniejsze monitorowanie operacji dyskowych wykonywanych przez strony.

Na razie nie ma dowodów na wykorzystywanie FROST w prawdziwych kampaniach szpiegowskich. Sam fakt istnienia takiej techniki pokazuje jednak, jak daleko posunęły się współczesne metody śledzenia internautów.

Zamknięcie kart może mieć większe znaczenie niż dotąd

Autorzy badań podkreślają, że jednym z najprostszych sposobów ograniczenia ryzyka pozostaje zamykanie nieużywanych kart przeglądarki. Im mniej aktywnych stron działa jednocześnie, tym trudniej analizować wzorce aktywności dysku SSD.

Zaawansowani użytkownicy mogą również kontrolować rozmiary danych przechowywanych lokalnie przez witryny internetowe. Problem polega jednak na tym, że przeciętny internauta zwykle nie ma pojęcia, ile danych zapisują strony działające w tle.