Un nuovo tipo di minaccia informatica sta facendo parlare di sé tra gli esperti di sicurezza, e porta un nome che suona quasi innocuo: FROST. L’acronimo sta per Fingerprinting Remotely using OPFS-based SSD timing, ed è una tecnica che permette ai siti web malevoli di spiare gli utenti sfruttando le micro-operazioni compiute dalle loro unità SSD. In pratica, un sito può arrivare a capire quali altri siti sono aperti nel browser e persino quali app stanno girando sul dispositivo, il tutto misurando piccolissime variazioni nei tempi di risposta del disco a stato solido.
Il meccanismo alla base di FROST rientra nella categoria dei cosiddetti attacchi a canale laterale. Sono quei tipi di attacco che non bucano direttamente un sistema, ma ne osservano i “comportamenti fisici” per ricavare informazioni. Può trattarsi di emanazioni elettromagnetiche, variazioni nel consumo energetico, oppure, come in questo caso, del tempo impiegato dall’SSD per completare determinate operazioni di lettura e scrittura. Misurando queste differenze infinitesimali, chi porta avanti l’attacco riesce potenzialmente a decifrare il traffico crittografato e ad accedere a dati riservati.
Come funziona l’attacco laterale a contesa
Nel dettaglio, FROST sfrutta quello che viene definito attacco laterale a contesa. Funziona così: il sito web malevolo che la vittima sta visitando avvia in background un processo che misura i tempi di risposta delle operazioni di input/output sull’unità SSD. Attraverso queste misurazioni, riesce a risalire a quali altre risorse sono attive in quel momento sul computer, che si tratti di schede del browser o applicazioni in esecuzione.
L’attacco viene eseguito direttamente nel browser, utilizzando codice JavaScript che interagisce con l’OPFS, ovvero l’Origin Private File System. Per chi non lo conoscesse, si tratta dello spazio di archiviazione virtuale che il browser assegna in modo esclusivo a ciascun sito. Questo file system, in teoria, vive all’interno di un ambiente sandbox, quindi isolato dal resto del sistema. Eppure, il codice JavaScript riesce comunque a misurare le interazioni di input/output, raccogliendo dati sufficienti per ricostruire un quadro piuttosto preciso dell’attività dell’utente.
Una volta raccolte queste informazioni grezze, l’attaccante le elabora attraverso una rete neurale convoluzionale (CNN), un tipo di intelligenza artificiale particolarmente efficace nel riconoscere schemi e pattern. Il risultato è la capacità di dedurre quali app e quali siti web sono aperti sul computer della vittima.
Condizioni necessarie e limiti di FROST
Va detto che l’attacco FROST non è banale da mettere in pratica. Perché funzioni, è necessario che il file OPFS creato dal sito malevolo sia molto grande, superiore a 1 GB, e che venga memorizzato sullo stesso SSD utilizzato dalla vittima per le proprie attività. Questo significa che le applicazioni installate su un’unità SSD separata rispetto a quella su cui opera il browser non vengono rilevate dall’attacco.