Twój dysk SSD zdradza więcej, niż myślisz. Wystarczy wejść na stronę
FROST to nowy sposób na podglądanie użytkowników. Wystarczy, że wejdziesz na stronę internetową. I już.
Przez lata przyzwyczailiśmy się już do tego, że strony internetowe potrafią o nas wiedzieć więcej, niżbyśmy chcieli. Śledzą kliknięcia, ruchy myszką, potrafią odtworzyć historię odwiedzonych witryn, a nawet rejestrować wpisywane klawisze. Ale to, co właśnie opisali badacze z TU Graz jest czymś zupełnie nowym. Strona internetowa może podglądać aktywność twojego komputera, analizując… pracę twojego SSD.
Tak, dobrze czytasz. Dysk. Ten sam, który miał być szybki, cichy i bezpieczny, bo pozbawiony ruchomych części. Teraz okazuje się, że jego mikroskopijne opóźnienia mogą zdradzić jakie strony masz otwarte w innych kartach, a nawet jakie aplikacje uruchamiasz na komputerze. I to wszystko bez instalowania czegokolwiek, bez zgód, bez wyskakujących okienek. Wystarczy wejść na odpowiednio spreparowaną stronę.
Czytaj też:
SSD jako podsłuch. Jak to w ogóle możliwe?
Mechanizm FROST (Fingerprinting Remotely using OPFS-based SSD Timing) opiera się na side channel, czyli kanale bocznym. To sytuacja, w której o działaniu systemu można wnioskować nie na podstawie danych, lecz skutków ubocznych - czasu wykonania operacji, poboru energii, zakłóceń elektromagnetycznych.
W tym przypadku chodzi o contention, czyli współdzielenie zasobów. Jeśli kilka procesów jednocześnie korzysta z tego samego SSD to ich operacje zaczynają sobie nawzajem przeszkadzać. A to oznacza, że czas odczytu danych z dysku delikatnie się zmienia. Te zmiany są mikroskopijne, ale - jak pokazują badacze - wystarczająco charakterystyczne, by dało się z nich wyczytać co robi użytkownik.
I tu pojawia się kluczowy element: OPFS, czyli Origin Private File System. To mechanizm wbudowany w przeglądarki, który pozwala stronom tworzyć własne, prywatne pliki na dysku użytkownika. Bez pytania o zgodę. Bez okienek dialogowych. Bez żadnego sygnału dla użytkownika.
Strona może więc stworzyć gigantyczny plik - nawet kilkadziesiąt gigabajtów - i wykonywać na nim szybkie, losowe odczyty. A potem mierzyć jak bardzo te odczyty są spowalniane przez inne procesy korzystające z dysku. To właśnie te opóźnienia są „odciskiem palca” aktywności użytkownika.
Co dokładnie da się podejrzeć?
Badacze przeprowadzili testy na macOS i Linuxie. Wyniki są, delikatnie mówiąc, niepokojące. W przypadku fingerprintingu stron internetowych FROST osiągnął F1-score na poziomie 88,95 proc. w scenariuszu zamkniętym (50 najpopularniejszych stron) i 86,95 proc. w scenariuszu otwartym. To oznacza, że strona atakująca może z dużą pewnością stwierdzić, czy masz otwarte YouTube’a, Facebooka, Amazona czy dowolny inny serwis.
Jeszcze ciekawiej robi się przy aplikacjach. FROST potrafił rozpoznać, czy użytkownik uruchomił Safari, Mapy, Muzykę, Kalkulator, App Store czy inne systemowe aplikacje macOS. Skuteczność? 95,83 proc.
Atak działa nawet między różnymi przeglądarkami. Badacze pokazali, że Chrome może podsłuchiwać aktywność Safari i odwrotnie. Bo to nie przeglądarka jest tu kluczowa - tylko dysk.
A co z ograniczeniami? Czy to działa zawsze?
Na szczęście nie. Najważniejsze: OPFS musi mieć możliwość stworzenia ogromnego pliku. Chrome i Safari pozwalają na wykorzystanie nawet 60 proc. pojemności dysku. Firefox ogranicza to do 10 GB, ale można to obejść tworząc pliki w wielu różnych domenach.
Drugi warunek: aplikacje, które chcemy „podsłuchać”, muszą korzystać z tego samego fizycznego SSD. Na laptopach to norma, ale na stacjach roboczych z wieloma dyskami - już niekoniecznie.
Trzeci: użytkownik może zauważyć nagły zanik wolnego miejsca na dysku. Ale - bądźmy szczerzy - ilu użytkowników regularnie na to patrzy?
Atak nie został zaobserwowany w naturze. Na razie to praca naukowa, która dopiero ma zostać zaprezentowana na konferencji DIMVA. Ale tak samo było kiedyś z Meltdownem, Spectre, Rowhammerem i całą resztą. Najpierw badania, potem proof-of-concept, a potem… cóż, historia pokazuje, że cyberprzestępcy potrafią być bardzo kreatywni.
Czy da się przed tym bronić?
Badacze sugerują kilka rozwiązań, ale każde ma swoje minusy. Można ograniczyć maksymalny rozmiar plików OPFS. Tyle że to uderzyłoby w webowe aplikacje, które faktycznie potrzebują dużej przestrzeni - np. edytory wideo czy IDE działające w przeglądarce.
Można ograniczyć dostęp do precyzyjnych timerów, ale to z kolei psuje działanie wielu nowoczesnych API.
Można wymagać zgody użytkownika na korzystanie z OPFS. Ale wtedy użytkownicy zaczną klikać „Zezwól” tak samo bezrefleksyjnie, jak robią to dziś z ciasteczkami.
Najprostsza rada? Zamykaj karty, których nie używasz. Serio. To nie żart.
Dlaczego to jest tak ważne?
Bo FROST pokazuje, że przeglądarka - narzędzie, które miało być bezpieczną piaskownicą - zaczyna przypominać system operacyjny. A im więcej funkcji dostaje, tym więcej pojawia się nieoczekiwanych konsekwencji.
To także sygnał dla branży: jeśli pozwalamy stronom internetowym na dostęp do coraz bardziej zaawansowanych funkcji to musimy liczyć się z tym, że ktoś znajdzie sposób, by je wykorzystać niezgodnie z przeznaczeniem.
I nie chodzi tu o paranoję. Chodzi o świadomość. O to, że nawet jeśli nie masz nic do ukrycia, to nie znaczy, że ktoś nie będzie chciał tego wiedzieć.
FROST to dopiero początek
Badacze podkreślają, że skoro da się fingerprintować strony i aplikacje, to da się fingerprintować cokolwiek, co generuje charakterystyczne obciążenie dysku. W teorii można więc wykrywać np. otwieranie dokumentów, pracę programów graficznych, a może nawet aktywność gier.
To nie jest koniec tej historii. To dopiero początek.
