Estudo revela que é possível espionar navegação medindo a atividade do SSD, com o ataque FROST não exigindo permissões ou interação do usuário para identificar aplicativos e sites em uso

Pesquisadores da Universidade de Tecnologia de Graz, na Áustria, publicaram um estudo detalhando uma nova técnica de ataque que permite a sites maliciosos identificar quais outros sites e aplicativos um visitante está utilizando. Essa abordagem, chamada FROST (Fingerprinting Remotely using OPFS-based SSD Timing), funciona ao medir a latência de acesso ao SSD através do JavaScript em um navegador comum. Em testes realizados em um Mac, a técnica conseguiu identificar sites visitados com uma precisão de aproximadamente 89% e aplicativos em uso com cerca de 96%. O ataque não requer nenhuma ação adicional do usuário, além de simplesmente visitar a página do atacante, e é eficaz em diferentes navegadores.

O método explora o Origin Private File System (OPFS), uma API de navegador que permite a criação e armazenamento de arquivos no disco local do usuário sem a necessidade de autorização. Enquanto ataques anteriores exigiam execução de código nativo em interfaces de kernel privilegiadas, o FROST dispensa essa exigência.

Os pesquisadores compartilharam suas descobertas com Google, Apple e Mozilla. O Google declarou que não considera a impressão digital uma vulnerabilidade de segurança, enquanto a Apple afirmou que o ataque está “fora do escopo atual”. A Mozilla reconheceu as descobertas, mas não implementou medidas de correção.

O ataque consiste em criar um arquivo OPFS grande no SSD da vítima, permitindo que sites reivindiquem até 60% do espaço total do disco. Em um dispositivo com 256GB, isso representa mais de 150GB. O arquivo precisa ser maior do que a RAM disponível para que cada leitura aleatória de 4 KB atinja o SSD, evitando o cache de página do sistema operacional. Quando outras atividades geram I/O de disco, isso resulta em picos de latência mensuráveis nas leituras do atacante, que são então analisadas por uma rede neural convolucional treinada para identificar sites e aplicativos com base em suas assinaturas de I/O.

Como a contenção acontece no nível de armazenamento, o ataque é compatível entre navegadores. Testes em um Mac Mini M2 com 8GB de RAM e 256GB de SSD mostraram que, mesmo rodando a página do atacante no Chrome enquanto a vítima navegava no Safari, a diferença de desempenho foi apenas de 3,38% em relação a um ataque no mesmo navegador. No entanto, o ataque foi limitado a um ambiente específico e não foi testado integralmente em sistemas Linux ou Windows. É importante notar que o arquivo OPFS precisa residir no mesmo SSD das atividades monitoradas, o que nem sempre é garantido em estações de trabalho com múltiplos drives.

O principal desafio para esse ataque é o tamanho do arquivo; muitos usuários perceberiam um desaparecimento repentino de dezenas ou centenas de gigabytes. Os pesquisadores sugerem algumas medidas mitigatórias, como limitar o tamanho dos arquivos OPFS para que não ultrapassem a memória do sistema ou exigir permissão explícita para a criação desses arquivos. Considerando que o Google não classifica a impressão digital como um problema de segurança, é pouco provável que haja correções do lado dos navegadores a curto prazo.