Австрийские исследователи из Грацского технического университета описали новый способ слежки за пользователями через браузер. Атака получила название FROST и позволяет определить, какие сайты и программы в данный момент времени открыты на компьютере жертвы — без установки вирусов, расширений и даже без запроса каких-либо разрешений. Достаточно просто зайти на вредоносную страницу.

Изображение: Toms Hardware

Метод работает через обычный JavaScript-код внутри браузера. Исследователи использовали встроенный механизм хранения файлов Origin Private File System (OPFS), который есть в современных браузерах. Сайт создает огромный файл на SSD пользователя, а затем начинает измерять микрозадержки при обращении к диску. По характеру этих задержек можно понять, какие еще приложения или вкладки активно используют накопитель.

Дальше в дело вступает нейросеть: она анализирует уникальные «отпечатки» дисковой активности и сопоставляет их с конкретными сайтами и программами. В тестах на Mac Mini с чипом M2 система определяла открытые сайты с точностью около 89%, а приложения — примерно с точностью 96%.

Особенность FROST в том, что атака работает даже между разными браузерами. Например, вредоносная страница может быть открыта в Chrome, а отслеживаемая активность происходить в Safari.

При этом пользователю не нужно ничего скачивать или подтверждать. Однако у метода есть и серьезный минус: FROST создает огромный файл на SSD — многие пользователи могут заметить внезапное исчезновение десятков или сотен гигабайт свободного места (Chrome и Safari разрешают сайтам через OPFS резервировать до 60% пространства на SSD, в случае накопителя объемом 256 ГБ — это 150 ГБ). Кроме того, для успеха атаки файлы OPFS должны находиться на том же физическом SSD, где происходит отслеживаемая активность, что маловероятно на многодисковых рабочих станциях.

В качестве мер противодействия авторы предлагают ограничить максимальный размер файлов OPFS, чтобы они гарантированно помещались в оперативную память, или же внедрить обязательный запрос разрешений на создание таких хранилищ.

Исследователи сообщили о проблеме Google, Apple и Mozilla, но быстрой реакции не последовало. В Google заявили, что подобный метод не считают полноценной уязвимостью безопасности, Apple назвала атаку «вне зоны ответственности», а Mozilla пока ограничилась изучением отчета без выпуска исправлений.

Напомним, ранее исследователи научились определять людей в помещениях через обычные Wi-Fi-роутеры с точностью до 99,5%, при этом тоже ничего взламывать не нужно.