Az elmúlt években számos weboldal használt rejtett követési technikákat a látogatók böngészési előzményeinek, eszközlenyomatainak, billentyűleütéseinek és egérmozgásainak megfigyelésére. A kutatók szerint most egy újabb, adatvédelmi szempontból aggasztó módszer jelent meg: a FROST, vagyis a böngészőből, OPFS-alapú SSD-időzítés alapján végzett távoli ujjlenyomat-képzés.
A FROST lényege, hogy egy weboldal az SSD-meghajtó finom időzítési eltéréseit mérve következtethet arra, milyen más weboldalak vannak megnyitva a felhasználó eszközén, akár más böngészőkben is, illetve milyen alkalmazások futnak a háttérben. A támadáshoz nincs szükség külön felhasználói interakcióra: elég, ha az áldozat megnyitja a támadó által üzemeltetett weboldalt.
A módszer egy úgynevezett mellékcsatornás, pontosabban erőforrás-versengésen alapuló támadás. Az ilyen támadások nem törik fel közvetlenül a rendszert, hanem fizikai vagy működésbeli mellékhatásokból (például késleltetésből, gyorsítótár-használatból vagy I/O-műveletek időtartamából) következtetnek érzékeny információkra. A FROST esetében a támadó JavaScript-kódja véletlenszerű olvasási műveleteket végez egy nagy méretű OPFS-fájlon, miközben méri az SSD válaszidejét. Ha a felhasználó más weboldalakat vagy alkalmazásokat is használ, azok szintén SSD-hozzáféréseket kérhetnek, ami mérhető késleltetési mintázatokat okoz.
Az OPFS, vagyis az Origin Private File System egy böngésző számára biztosított, webhelyenként elkülönített tárterület. Bár sandboxolt, tehát más oldalak és az operációs rendszer felé izolált környezet, a FROST megmutatja, hogy még ilyen elkülönítés ellenére is keletkezhet mérhető mellékcsatorna. A nyers időzítési adatokat a kutatók egy előre betanított konvolúciós neurális hálózattal elemezték, amely képes volt felismerni bizonyos felhasználói aktivitási mintákat, így pedig következtetni tudott a megnyitott weboldalakra vagy a futó alkalmazásokra.
A kutatás azért különösen fontos, mert a modern böngészők már nem csupán egyszerű dokumentummegjelenítők. Komplett irodai csomagok, képszerkesztők, videószerkesztők és fejlesztői környezetek futnak bennük, ami jelentősen növeli az általuk jelentett támadási felületet. A FROST ehhez a trendhez kapcsolódik: egy legitim webes funkciót használ ki megfigyelési célokra.
A technikának ugyanakkor komoly korlátai vannak. A támadáshoz nagyon nagy, akár 1 gigabájtot meghaladó vagy annál még nagyobb OPFS-fájlra van szükség, ami tömeges alkalmazás esetén feltűnő lehet. Emellett az OPFS-fájlnak ugyanazon az SSD-n kell lennie, amelyen a megfigyelni kívánt aktivitás történik. Weboldalak esetén ez jellemzően teljesül, mert a böngésző alapértelmezett tárhelyét használják, de a külön meghajtón futó alkalmazások aktivitása már nem feltétlenül látható.
Védekezésként érdemes bezárni a feleslegesen nyitva maradt böngészőfüleket, illetve megfigyelni az ismeretlen weboldalak által létrehozott OPDS-fájlok méretét. Böngészőgyártói oldalon hatékony megoldás lehet az OPFS-fájlok maximális méretének korlátozása, illetve az SSD-időzítési mellékcsatorna zajosítása vagy megszüntetése.
A teljes FROST-támadást Apple M2-alapú Mac rendszeren demonstrálták. Linuxon működött az alapmechanizmus, vagyis az SSD-hozzáférési késleltetések JavaScriptből történő mérése, de a teljes támadási láncot nem futtatták le. Windows rendszeren nem végeztek teszteket. Jelenleg nincs bizonyíték arra, hogy a FROST-ot valós támadásokban már alkalmazták volna.