Kiberbiztonsági kutatók egy radikálisan új megfigyelési technikát fedeztek fel, amely közvetlenül a felhasználók SSD (Solid State Drive) meghajtóinak fizikai aktivitását elemzi. A FROST névre keresztelt támadási módszer lehetővé teszi a kártékony vagy követőkódot futtató webhelyek számára, hogy egyszerű JavaScript kódok segítségével, a böngészők legszigorúbb védelmi vonalait és adatvédelmi beállításait megkerülve kémkedjenek a látogatók után. A felfedezés alapjaiban rengeti meg a sütimentes (cookie-less) adatvédelembe vetett bizalmat, mivel a hardveres szintű időzítési eltérésekre épít.
A merevlemezek rejtett ritmusa
A modern webböngészők, mint a Google Chrome, a Mozilla Firefox vagy az Apple Safari, szigorú homokozóba (sandbox) zárják a weboldalakat. Ez azt jelenti, hogy egy megnyitott fül elvileg semmilyen módon nem láthat bele a számítógép más folyamataiba, a többi megnyitott fülbe, vagy magába a fájlrendszerbe. A kutatók azonban rámutattak, hogy a fizikai valóságot nem lehet tökéletesen izolálni: amikor az SSD műveleteket hajt végre, a be- és kimeneti (I/O) interakciók sebessége elhanyagolható, de mérhető ingadozásokat mutat. Ezt az apró hardveres oldalcsatornát (side-channel) használja ki az új módszer.
A FROST-támadás működési mechanizmusa
A támadás során a háttérben futó kártékony JavaScript kód szándékosan írási és olvasási műveleteket kezdeményez a böngésző saját, elszigetelt tárhelyén (például az OPFS – Origin Private File System API-n keresztül). Miközben a script ezeket a mikroszkopikus fájlműveleteket végzi, rendkívül precízen méri az SSD válaszidejét. Mivel a számítógépen futó többi alkalmazás vagy más megnyitott böngészőlapok is ugyanazt a fizikai NVMe SSD-t használják, azok saját írási/olvasási műveletei minimális késleltetést (zajt) okoznak a támadó script méréseiben.
A támadók ezeket a finom késleltetési mintázatokat egy előre betanított konvolúciós neurális hálózatba (CNN) táplálják be. A mélytanulási modell képes azonosítani az egyes weboldalak vagy asztali alkalmazások egyedi I/O „ujjlenyomatát”. Ezzel a módszerrel a támadó pontosan rekonstruálhatja, hogy a felhasználó milyen egyéb webhelyeket látogat egy másik fülön, vagy milyen szoftvereket futtat éppen a háttérben.
A hagyományos védelmi eszközök kudarca
A FROST-támadás legsúlyosabb jellemzője, hogy teljesen immunis a jelenlegi szoftveres adatvédelmi megoldásokra. Mivel nem támaszkodik sütikre (cookies), nem használja a klasszikus böngésző-ujjlenyomatvételt (browser fingerprinting), és nem gyűjt szoftveres metaadatokat, a prémium privát böngészők (mint a Brave vagy a Mullvad Browser) és a hirdetésblokkolók sem képesek detektálni vagy megakadályozni. A technika közvetlenül a hardver működési karakterisztikáját használja ki, így a privát böngészési mód (Incognito) sem nyújt ellene védelmet.
A fenyegetés számszerűsített adatai
A kutatási adatok alapján az alábbi táblázat foglalja össze a támadás kulcsfontosságú technikai paramétereit és jellemzőit:
| Paraméter / Jellemző | Részletek és Technikai specifikáció |
|---|---|
| Sérülékenység típusa | Hardveres oldalcsatornás időzítési támadás (Storage Side-Channel) |
| Alkalmazott programozási nyelv | Alapszintű JavaScript (nem igényel plugint vagy emelt szintű jogosultságot) |
| Célzott hardverkomponens | Nagy sebességű szilárdtest-meghajtók (elsődlegesen NVMe SSD-k) |
| Eszközök a mintázatfelismeréshez | Előre betanított konvolúciós neurális hálózatok (CNN) |
| Érintett böngészők | Google Chrome, Mozilla Firefox, Apple Safari, Brave és egyéb Chromium-alapú szoftverek |
| Éles visszaélések (In the wild) | Jelenleg nincs bizonyíték arra, hogy kiberbűnözők aktívan alkalmaznák a gyakorlatban |
Magyarországi vonatkozások és adatvédelmi hatások
Bár a technológiát egyelőre laboratóriumi körülmények között demonstrálták, a módszer azonnali kihívás elé állítja az európai és a magyarországi szabályozó hatóságokat is. Mivel a technika alkalmas a felhasználók hozzájárulás nélküli, rejtett profilozására, használata súlyosan sérti az Európai Unió általános adatvédelmi rendeletét (GDPR). A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) és a hazai kiberbiztonsági szervezetek számára a jövőben komoly feladatot jelenthet az ilyen jellegű, láthatatlan adatgyűjtések auditálása, mivel a hagyományos hálózati forgalomelemzéssel ezek a lekérdezések nem különíthetők el a legális webes funkcióktól.
Kilátások és a védekezés lehetőségei
A szakértők szerint a végfelhasználók részéről a leghatékonyabb azonnali óvintézkedés a feleslegesen nyitva felejtett böngészőlapok azonnali bezárása, csökkentve ezzel a párhuzamos mérések kockázatát. A valódi megoldás azonban a böngészőfejlesztők (Google, Mozilla, Apple) kezében van. A kutatók javaslatot tettek a tárhely-API-k időzítési precizitásának mesterséges korlátozására (zaj hozzáadására), valamint az OPFS által allokálható fájlok maximális méretének szigorítására, ami ellehetetlenítené a finomhangolt hardveres méréseket.
