Австрийские исследователи описали слежку через SSD
Австрийские исследователи описали атаку FROST на слежку через SSD, которая позволяет сайту определять, какие страницы и приложения открыты на компьютере пользователя, по задержкам работы SSD. Для этого не нужны вредоносные файлы, расширения или действия со стороны жертвы. Достаточно открыть специально подготовленную страницу в браузере.
Метод расшифровывается как Fingerprinting Remotely using OPFS-based SSD Timing. Схема опирается на Origin Private File System, механизм браузерного хранилища для локальных файлов, и на особенности работы твердотельных накопителей. После загрузки страницы сайт создает крупный файл на несколько гигабайт, нагружает накопитель, а затем измеряет задержки при доступе к данным. По этим колебаниям и с помощью модели машинного обучения можно восстановить косвенную картину другой активности на устройстве.
По данным авторов, точность распознавания посещаемых сайтов достигла 88,95%, а приложений — 95,83%. Эксперименты проводили на Linux и macOS, однако исследователи считают, что сама техника не привязана к двум платформам и может быть адаптирована и для Windows. Отдельный риск в том, что источник сигнала находится не в конкретном браузере, а на уровне накопителя. Это означает, что страница, открытая в Chrome, теоретически может собирать сведения об активности в Firefox или в настольных программах.
Как работает слежка через SSD
Для веба это не первый случай, когда обычная функция браузера превращается в канал утечки. В 2010-х разработчики уже закрывали так называемое history sniffing, когда сайты через CSS и время отрисовки угадывали, какие ссылки пользователь посещал ранее. После Spectre и Meltdown в 2018 году браузеры также урезали точность JavaScript-таймеров, потому что они облегчали побочные атаки через кеш и память.
FROST отличается тем, что уходит еще ниже, к физическому носителю. В таких атаках традиционная защита работает хуже. Cookie можно удалить, трекинговый пиксель заблокировать, набор параметров браузера подменить расширением. Поведение SSD не спрячешь одним переключателем в настройках, тем более если сайт использует легальный механизм локального хранения данных.
Это важно и по другой причине. В последние годы браузеры расширяли офлайн-возможности сайтов, чтобы веб-приложения могли кэшировать данные, хранить крупные файлы и работать почти как настольный софт. Именно такие API, включая OPFS, сделали браузер удобнее для редакторов, IDE и почтовых клиентов. Заодно они дали исследователям и злоумышленникам новый слой для экспериментов с побочными каналами.
Риск нельзя назвать теоретическим только из-за экзотичности сценария. По оценкам аналитиков Canalys и IDC, SSD уже стали базовым типом накопителя для большинства новых ПК, а доля ноутбуков с классическими жесткими дисками быстро сокращается. Чем однороднее парк устройств, тем проще обучать модели на массовых конфигурациях. Ирония здесь в том, что накопитель, который покупают ради скорости, в этой схеме и становится датчиком.
Авторы не предлагают готового патча. По их оценке, полноценная защита потребует изменений в браузерах и, возможно, в самих веб-API, которые дают страницам доступ к файловому хранилищу. Временная мера простая: закрывать вкладки сразу после завершения работы с сайтом, чтобы сократить окно наблюдения. Для корпоративных сред список мер будет шире, от ограничения браузерных политик хранения до фильтрации подозрительно больших операций записи в профиле пользователя.
У браузерных вендоров уже был похожий выбор после Spectre: сохранить производительность и совместимость или урезать возможности ради безопасности. С FROST решение тоже будет компромиссным. Если исследование подтвердят независимые команды, обсуждение ограничений для OPFS и связанных API может начаться уже в ближайших циклах разработки Chromium, Firefox и WebKit, то есть во второй половине 2026 года.
