Австрийские исследователи обнаружили изощрённый способ, с помощью которого обычный сайт может тайно следить за тем, какие приложения ты запускаешь, какие вкладки открыты и даже какие сайты посещаешь. Новый метод атаки под названием FROST не использует ни куки, ни трекеры, ни привычные методы фингерпринтинга. Вместо этого он «подслушивает» твой SSD-накопитель.
Атака FROST (Fingerprinting Remotely using OPFS-based SSD Timing) эксплуатирует конкуренцию за доступ к хранилищу данных. Когда несколько программ одновременно читают или записывают информацию на SSD, возникают крошечные, но измеримые задержки. Скрипт на JavaScript, работающий в браузере, создаёт большой файл в Origin Private File System (OPFS) и постоянно считывает из него данные, фиксируя время каждой операции.
Если в это время на компьютере активно работает другое приложение или открыта другая вкладка, которая обращается к SSD, эти задержки меняются. Со временем собираются характерные паттерны. Затем обученная свёрточная нейросеть (CNN) сопоставляет эти паттерны с конкретными действиями — открытием определённого сайта, запуском приложения и т.д.
Важно, что атака работает полностью внутри браузера и не требует установки вредоносного ПО. Она использует легитимную функцию OPFS, предназначенную для изолированного хранения данных веб-приложениями.
Что удалось выяснить исследователям
Команда показала, что метод успешно определяет активность пользователя даже в разных браузерах. Это значит, что сигнал привязан не к конкретному браузеру, а к общему поведению системы. Тесты проводились на Apple M2 и Linux, где техника показала схожие результаты. На Windows пока не тестировали.
Исследователи отмечают, что современные браузеры превратились в полноценные платформы для сложных приложений — офисных пакетов, редакторов фото и видео, сред разработки. Чем больше браузер взаимодействует с системными ресурсами, тем больше появляется новых векторов атак.
Ограничения и риски
Пока у FROST есть заметные ограничения:
- Для работы требуется создать очень большой файл (около 1 ГБ и больше) — это может привлечь внимание пользователя или вызвать предупреждения системы.
- Атака работает только при условии, что наблюдаемая активность происходит на том же физическом SSD.
- Метод требует предварительного обучения нейросети на конкретных паттернах.
Тем не менее, это ещё одно доказательство того, как глубоко браузерный код может проникать в поведение системы. Авторы предлагают производителям браузеров ввести ограничения на размер файлов в OPFS или мониторить подозрительные паттерны доступа к хранилищу.
