Nội dung bài viết
Hoạt động của SSD Telltale có thể được đo trong trình duyệt bằng cách sử dụng JavaScript đơn giản.
Trong nhiều thập kỷ, không thiếu các trang web sử dụng các kỹ thuật thông minh để bí mật theo dõi lịch sử duyệt web, dấu vân tay thiết bị cũng như ghi lại các thao tác gõ phím và di chuyển chuột của khách truy cập trong thời gian thực.
Ngay cả Meta và Yandex gần đây cũng bị phát hiện tham gia vào miền . Giờ đây, các trang web đã có một cách mới để theo dõi khách truy cập: đo lường các tương tác tinh vi với ổ đĩa thể rắn của họ.
Kỹ thuật này có tên FROST (lấy dấu vân tay từ xa bằng cách sử dụng thời gian SSD dựa trên OPFS), cho phép các trang web giám sát các trang web khác mà khách truy cập đang xem và những ứng dụng nào đang mở trên thiết bị của họ.
Kỹ thuật này, được trình bày trong một bài nghiên cứu, khai thác kênh bên, một dạng rò rỉ do các biểu hiện vật lý như phát xạ điện từ, bộ nhớ đệm dữ liệu hoặc thời gian cần thiết để hoàn thành một nhiệm vụ.
Bằng cách đo lường các biểu hiện, kẻ tấn công có thể giải mã lưu lượng được mã hóa và suy ra các dữ liệu bí mật khác. Cuộc tấn công mà FROST sử dụng được gọi là kênh bên tranh chấp, đo lường sự tương tác của các quy trình khác nhau, tất cả đều sử dụng (hoặc cạnh tranh) một tài nguyên nhất định.
Bằng cách đo thời gian của một số I/O nhất định (đầu vào-ra put) của ổ SSD mà khách truy cập đang sử dụng, các nhà nghiên cứu có thể xác định các trang web đang mở trong các tab khác—ngay cả trên các trình duyệt khác—và các ứng dụng đã mở trên thiết bị của khách truy cập.
FROST không yêu cầu sự tương tác từ khách truy cập ngoài việc mở trang web tổ chức cuộc tấn công. Các tác giả bài báo viết: “Trình duyệt web đã phát triển từ trình xem tài liệu đơn giản thành nền tảng phức tạp có khả năng chạy các ứng dụng phức tạp”.
“Các công ty như Google, Microsoft và Adobe đã phát triển các bộ ứng dụng văn phòng chính thức, trình chỉnh sửa ảnh và video hoặc thậm chí là môi trường phát triển tích hợp (IDE) chạy hoàn toàn trong trình duyệt.” Các tác giả tiếp tục lưu ý: “Mặc dù các tính năng này nâng cao khả năng của ứng dụng web và cho phép các trường hợp sử dụng hoàn toàn mới, nhưng chúng cũng làm tăng bề mặt tấn công của trình duyệt và một số tính năng đã được chứng minh là gây ra các lỗ hổng mới”.
Không giống như các cuộc tấn công kênh bên tranh chấp trước đây trên SSD, FROST chạy độc quyền trên trình duyệt.
Nó sử dụng JavaScript tương tác với OPFS (hệ thống tệp riêng tư gốc), một không gian lưu trữ được phân bổ dành riêng cho một trang web cụ thể để chạy mã cần thiết nhằm hoàn thành một tác vụ nhất định. Trang web có thể tạo trên e không có yêu cầu tương tác của khách truy cập.
Mặc dù mỗi hệ thống tệp đều được đóng hộp cát, nghĩa là nó tách biệt với các trang web khác và với chính hệ thống thiết bị, nhưng JavaScript có thể đo lường các tương tác I/O.
Sau đó, bằng cách chạy các tương tác đó thông qua mạng nơ-ron tích chập đã được huấn luyện trước — một hệ thống sử dụng công nghệ học sâu để phân tích văn bản, âm thanh và hình ảnh — kẻ tấn công có thể suy ra nhiều ứng dụng và trang web khác nhau đang mở trên thiết bị.
Các nhà nghiên cứu giải thích: “Kẻ tấn công liên tục đo lường sự xung đột của SSD bằng cách thực hiện đọc ngẫu nhiên từ một tệp OPFS lớn”. "Sự xung đột SSD do hoạt động của người dùng gây ra gây ra sự khác biệt về độ trễ có thể đo lường được đối với các hoạt động đọc này.
Bằng cách đào tạo mạng thần kinh tích chập (CNN) trên các dấu vết này, kẻ tấn công có thể lấy dấu vân tay hoạt động của người dùng trên hệ thống máy chủ bằng cách phân loại dấu vết mới bằng mô hình đã được đào tạo." Kỹ thuật này có những hạn chế của nó.
Đầu tiên, tệp OPFS phải cực lớn—có thể là gigabyte trở lên. Yêu cầu đó có nghĩa là các cuộc tấn công trên quy mô lớn chắc chắn sẽ bị nhiều người dùng phát hiện.
Ngoài ra, tệp OPFS phải được lưu trữ trên cùng ổ SSD mà khách truy cập đang sử dụng. Đây thường không phải là vấn đề khi theo dõi các trang web đang mở vì OPFS f.
ile được lưu trữ ở vị trí mặc định của trình duyệt. Trong trường hợp các ứng dụng đang sử dụng ổ SSD riêng cho ứng dụng thì FROST không thể phát hiện được những ứng dụng đó.
Một trong những cách tốt nhất để ngăn chặn các cuộc tấn công FROST là đóng các tab ngay khi chúng không còn cần thiết nữa. Những người dùng hiểu biết hơn có thể theo dõi việc tạo và kích thước tệp OPFS được phân bổ bởi các trang web không xác định.
Các nhà nghiên cứu đã đề xuất cách để các nhà sản xuất trình duyệt tắt kênh bên. Một phương pháp như vậy là giới hạn kích thước tối đa của các tệp được phép.
Không có dấu hiệu nào cho thấy các cuộc tấn công FROST đã được thực hiện trong tự nhiên. Các nhà nghiên cứu đã thực hiện cuộc tấn công Frost đầy đủ trên máy Mac M2.
Trên Linux, họ đã chỉ ra rằng nguyên thủy cơ bản (đo dấu vết độ trễ truy cập SSD từ JavaScript) hoạt động nhưng không thực hiện toàn bộ cuộc tấn công.
Hannes Weissteiner, một trong những đồng tác giả, đã viết trong một email: “Tuy nhiên, vì hiệu suất của bản nguyên thủy là tương tự nhau giữa macOS và Linux, nên chúng tôi mong đợi hiệu suất tương tự đối với phân loại đầy đủ”.
“Về nguyên tắc, có thể đào tạo một mô hình về bất kỳ hoạt động hệ thống nào tạo ra quyền truy cập SSD một cách đáng tin cậy.” Bài viết được liên kết ở trên cung cấp nhiều chi tiết kỹ thuật hơn. Nghiên cứu dự kiến sẽ được trình bày được tổ chức tại hội nghị DIMVA vào tháng 7.
Ars Technica đã tách tín hiệu khỏi tiếng ồn trong hơn 25 năm. Với sự kết hợp độc đáo giữa hiểu biết về kỹ thuật và mối quan tâm sâu rộng đến nghệ thuật và khoa học công nghệ, Ars là nguồn đáng tin cậy trong biển thông tin.
Suy cho cùng, bạn không cần phải biết mọi thứ, chỉ cần biết những gì quan trọng.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.