- Cientistas apresentaram FROST, uma técnica que permite aos sites medir atividade de SSDs por meio de JavaScript no navegador para identificar quais abas e apps o usuário tem abertos.
- O método usa o sistema de arquivos OPFS (origin private file system) e uma rede neural convolucional para classificar padrões de acesso ao SSD, inferindo sites abertos em outras abas e apps no dispositivo.
- Para funcionar, o FROST exige um arquivo OPFS muito grande (provavelmente gigabytes) armazenado no mesmo SSD do usuário, tornando ataques em larga escala detectáveis.
- Não houve relatos de uso prático da técnica, e os pesquisadores testaram o ataque completo apenas em um Mac com processador M2; em Linux o princípio foi demonstrado, mas sem o ataque completo. Windows não foi testado.
- Medidas de defesa sugeridas incluem fechar abas não utilizadas e limitar o tamanho máximo de arquivos OPFS; pesquisadores também sugerem que navegadores cortem esse canal lateral. A apresentação está marcada para a conferência DIMVA em julho.
A técnica FROST permite que sites monitorem atividades no dispositivo do usuário apenas pela navegação no browser. Pesquisadores demonstraram que é possível medir interações com a unidade de estado sólido (SSD) por meio de JavaScript e do sistema de arquivos OPFS. O objetivo é identificar quais sites e apps estão ativos no aparelho do visitante.
O estudo descreve como um site malicioso pode usar o OPFS (Origin Private File System) para criar um espaço de armazenamento reservado. A partir de leituras de I/O, o código coleta latências que variam conforme a atividade no dispositivo. Em seguida, um modelo de rede neural classifica essas leituras para inferir aplicações e abas abertas.
Segundo os autores, o ataque não requer interação direta do usuário, bastando que ele abra o site que hospeda a exploração. A técnica funciona dentro do navegador, sem depender de privilégios no sistema operacional. O estudo utiliza um modelo de CNN treinado com traços de acesso para reconhecer padrões de uso.
O experimento principal foi feito em um Mac com chip M2. Em Linux, a pesquisa mostrou que a primitiva de medir latência de acessos ao SSD funciona, mas o ataque completo não foi executado. Os autores indicam que resultados podem variar entre sistemas.
A pesquisa destacou limitações: o arquivo OPFS precisa ser grande, possivelmente gigabytes, o que pode facilitar a detecção. Além disso, o OPFS fica no SSD usado pelo visitante, o que restringe a detecção quando apps usam drives diferentes. As descobertas devem ser apresentadas na conferência DIMVA em julho.
Para mitigar riscos, os autores sugerem medidas nos navegadores, como limitar o tamanho máximo do OPFS e reduzir a possibilidade de uso dessa via. Não há relatos de ataques FROST em uso prático até o momento. A equipe apresentou ainda orientações para monitorar comportamento de OPFS por sites desconhecidos.
Entre na conversa da comunidade