据报道,研究人员发现新型FROST追踪技术,恶意网站无需用户任何操作,仅采集SSD读写延迟特征,就能推断用户打开的其他网站和正在运行的本地应用,目前暂未被用于真实攻击,业内建议限制陌生网站的浏览器存储权限规避风险。
该技术利用浏览器内置的OPFS(源私有文件系统)文件系统执行JavaScript脚本,持续采集固态硬盘I/O延迟数据,全程无需用户进行任何操作。
攻击过程中,恶意网页会生成1GB甚至更大体积的OPFS文件,反复执行随机读取并记录延迟。用户其他标签页、本地应用读写SSD时,会引发硬件资源争夺,造成读取时序出现明显波动。
依托这些可量化的时序特征,该研究团队将采集到的时序轨迹,输入预训练卷积神经网络完成分类,以此判断设备正在运行的网页与应用程序。
研究人员在搭载M2芯片的Mac设备上完成了全流程攻击演示,在Linux平台验证底层技术原语有效,目前尚未针对Windows系统开展相关测试。
需要注意的是,FROST存在明显应用局限,当攻击依赖超大体积OPFS文件,极易被用户察觉;且文件必须与目标程序共用同一块SSD,应用部署在独立硬盘时则无法监测。
目前暂无证据表明FROST已被用于真实网络攻击。业内建议浏览器厂商限制OPFS单文件最大容量,用户可及时关闭闲置标签页,警惕陌生网站创建的大容量存储文件。相关论文将于7月在DIMVA会议正式发布。
