Un gruppo di ricercatori ha scoperto una tecnica inedita che permette ai siti web di spiare i visitatori analizzando l’attività dei loro SSD. Si chiama FROST, acronimo di Fingerprinting Remotely Using OPFS-based SSD Timing, e funziona in modo tanto ingegnoso quanto inquietante: misurando le interazioni sottili con l’unità a stato solido del dispositivo, un sito può capire quali altri siti sono aperti nelle tab del browser e perfino quali applicazioni stanno girando sulla macchina.
Non è certo la prima volta che emergono metodi creativi per tracciare gli utenti online. Nel corso degli anni, tecniche di fingerprinting del dispositivo, registrazione dei movimenti del mouse e monitoraggio della cronologia di navigazione sono diventate quasi ordinarie. Persino nomi grossi come Meta e Yandex sono stati beccati a usare pratiche simili. Ma FROST porta il concetto su un livello diverso, perché opera interamente dal browser, senza richiedere alcuna interazione da parte dell’utente se non quella di aprire la pagina che ospita l’attacco.
Il meccanismo sfrutta quello che in gergo si chiama side channel a contesa. In pratica, diversi processi sul dispositivo competono per accedere alla stessa risorsa, in questo caso l’SSD, e le minime variazioni nei tempi di risposta delle operazioni di lettura e scrittura diventano una sorta di impronta digitale. FROST usa del codice JavaScript che interagisce con l’OPFS (Origin Private File System), uno spazio di archiviazione che ogni sito può creare senza che il visitatore debba fare nulla. Anche se ogni file system è isolato dagli altri, il JavaScript riesce comunque a misurare la latenza delle operazioni di input e output sull’SSD.
Come funziona il riconoscimento delle attività
I dati raccolti da queste misurazioni vengono poi elaborati attraverso una rete neurale convoluzionale (CNN) addestrata in precedenza. Il modello è in grado di classificare le tracce di latenza e, da lì, dedurre quali siti e app sono attivi sul dispositivo. I ricercatori lo spiegano in modo piuttosto diretto: l’attaccante esegue letture casuali da un file OPFS molto grande, e l’attività dell’utente genera differenze misurabili nei tempi di risposta. Allenando la rete neurale su queste tracce, diventa possibile riconoscere pattern specifici associati a determinati siti o applicazioni.
La tecnica FROST ha comunque dei limiti importanti. Il file OPFS deve essere enorme, probabilmente da un gigabyte o più, il che rende l’attacco difficile da eseguire su larga scala senza farsi notare. Inoltre, il file deve trovarsi sullo stesso SSD utilizzato dal visitatore. Per il tracciamento dei siti aperti questo non è un problema, dato che il file finisce nella posizione predefinita del browser, ma se un’applicazione gira su un’unità separata, FROST non riesce a rilevarla.
Come proteggersi e stato attuale della ricerca
Uno dei modi più semplici per difendersi dagli attacchi FROST è chiudere le tab non necessarie. Chi ha più dimestichezza con la tecnologia può anche tenere d’occhio la creazione e le dimensioni dei file OPFS allocati da siti sconosciuti. I ricercatori hanno inoltre suggerito ai produttori di browser di imporre un limite massimo alla dimensione di questi file, così da troncare il canale laterale alla radice. Al momento, non ci sono indicazioni che attacchi FROST siano mai stati eseguiti al di fuori dell’ambiente di ricerca.
I test completi sono stati condotti su un Mac con chip M2. Su Linux, i ricercatori hanno dimostrato che la componente base della tecnica funziona, pur senza eseguire l’attacco nella sua interezza. Secondo Hannes Weissteiner, uno dei coautori, le prestazioni del meccanismo di base sono simili tra macOS e Linux, il che fa pensare a risultati analoghi anche per la classificazione completa. Su Windows non sono stati effettuati test. La ricerca verrà presentata alla conferenza DIMVA nel mese di luglio.