حمله FROST چیست؟ روش جدید ردیابی کاربران از طریق حافظه SSD

حمله FROST با سوءاستفاده از تحلیل تاخیر SSD می‌تواند بدون نیاز به مجوز، وب‌سایت‌ها و برنامه‌های در حال استفاده کاربران را شناسایی کند.

به‌ گزارش سرویس امنیت سایبری تک‌ناک، محققان امنیت سایبری دانشگاه فناوری گراتس اتریش در مقاله‌ای پژوهشی از این حمله کانال جانبی (Side-Channel Attack) جدید پرده برداشته‌اند که به یک وب‌سایت مخرب امکان می‌دهد از طریق اندازه‌گیری زمان تاخیر دسترسی به حافظه SSD در بستر جاوااسکریپت و درون محیط ایزوله مرورگر، فعالیت‌های کاربر را ردیابی و وب‌سایت‌ها یا برنامه‌های در حال اجرای او را شناسایی کند.

حمله FROST با عنوان کامل Fingerprinting Remotely using OPFS-based SSD Timing، در آزمایش‌های انجام‌شده روی یک سیستم مک موفق شده است وب‌سایت‌های بازدیدشده را با دقتی در حدود ۸۹ درصد و اپلیکیشن‌های فعال را با دقتی نزدیک به ۹۶ درصد تشخیص دهد. نکته قابل توجه آن است که اجرای حمله تنها به بازدید کاربر از صفحه وب مهاجم نیاز دارد و بدون اخذ مجوز، نصب نرم‌افزار اضافی یا هرگونه تعامل مستقیم از سوی قربانی انجام می‌شود. همچنین این تکنیک محدود به یک مرورگر خاص نیست و در چندین مرورگر مختلف قابل بهره‌برداری است.

بیشتر بخوانید: جنگ پنهانی اپل با کلاهبرداران؛ میلیون‌ها تراکنش جعلی مسدود شدند

حمله FROST با سوءاستفاده از Origin Private File System (OPFS) عمل می‌کند؛ رابط برنامه‌نویسی‌ که به وب‌سایت‌ها اجازه می‌دهد بدون درخواست مجوز از کاربر، فایل‌هایی را روی فضای ذخیره‌سازی محلی دستگاه ایجاد و مدیریت کنند. در حالی که حملات کانال جانبی مبتنی بر SSD در گذشته معمولا به اجرای کد بومی و دسترسی به رابط‌های سطح پایین و دارای امتیاز در هسته سیستم‌عامل وابسته بودند، روش FROST این پیش‌نیازها را حذف کرده و تنها با استفاده از قابلیت‌های استاندارد مرورگر قابل اجرا است. تیم تحقیقاتی یافته‌های خود را به گوگل، اپل و موزیلا گزارش کرده است. گوگل اعلام کرده است که تکنیک‌های اثرانگشت‌برداری کاربران را در دسته آسیب‌پذیری‌های امنیتی قرار نمی‌دهد. اپل نیز این حمله را در شرایط فعلی خارج از دامنه رسیدگی امنیتی خود توصیف کرده است. موزیلا نیز ضمن تایید دریافت گزارش، تاکنون راهکاری برای رفع این مسئله ارائه نکرده است.

01
از 01
مکانیزم حمله FROST

مکانیزم حمله FROST با ایجاد یک فایل حجیم در بستر Origin Private File System روی حافظه SSD قربانی آغاز می‌شود. مرورگرهای کروم و سافاری در حال حاضر به وب‌سایت‌ها اجازه می‌دهند از طریق OPFS تا ۶۰ درصد از ظرفیت کل فضای ذخیره‌سازی دستگاه را به خود اختصاص دهند؛ به این معنا که در یک درایو ۲۵۶ گیگابایتی، امکان ایجاد فایلی با حجمی بیش از ۱۵۰ گیگابایت وجود دارد. برای عملکرد صحیح حمله، اندازه این فایل باید از میزان حافظه RAM در دسترس سیستم فراتر رود تا درخواست‌های خواندن تصادفی ۴ کیلوبایتی به SSD هدایت شوند و در حافظه کش صفحات سیستم‌عامل (Page Cache) پاسخ داده نشوند. در چنین شرایطی، هرگونه فعالیت ورودی/خروجی دیسک ناشی از اجرای برنامه‌ها یا بارگذاری وب‌سایت‌های دیگر باعث ایجاد نوسانات قابل اندازه‌گیری در زمان پاسخ‌گویی SSD می‌شود. مهاجم این الگوهای زمانی را جمع‌آوری می‌کند و به یک شبکه عصبی کانولوشنی (CNN) آموزش‌دیده ارائه می‌دهد؛ مدلی که قادر است وب‌سایت‌ها و اپلیکیشن‌های مختلف را بر اساس امضای ورودی/خروجی اختصاصی آنها شناسایی کند.

شوک امنیتی جدید درباره حمله FROST؛ حافظه SSD می‌تواند تاریخچه وب‌گردی‌ شما را فاش کند

بیشتر بخوانید: فاجعه امنیتی در گیت‌هاب؛ نصب یک پلاگین، هزاران ریپازیتوری را لو داد

از آنجا که سرچشمه تداخل در سطح زیرسیستم ذخیره‌سازی قرار دارد، حمله FROST محدود به یک مرورگر خاص نیست و به‌ صورت میان‌مرورگری نیز عمل می‌کند. در آزمایش‌ها، اجرای صفحه مهاجم در کروم و فعالیت کاربر در سافاری تنها ۳.۳۸ درصد افت عملکرد نسبت به سناریوی هم‌مرورگری نشان داد، که بیانگر اثربخشی بالای این روش در محیط‌های واقعی است. با وجود این، ارزیابی کامل حمله اثرانگشت‌برداری تنها روی یک مینی‌مک مجهز به تراشه Apple M2، هشت گیگابایت حافظه رم و یک SSD با ظرفیت ۲۵۶ گیگابایت انجام شده است. پژوهشگران در سیستم‌های لینوکسی نیز موفق به اندازه‌گیری تاخیر SSD از طریق مرورگر شدند، اما فرایند کامل طبقه‌بندی و شناسایی فعالیت‌ها را اجرا نکردند. این روش تاکنون روی ویندوز مورد آزمایش قرار نگرفته است. علاوه بر این، فایل OPFS مورد استفاده در حمله باید روی همان SSD فیزیکی قرار داشته باشد که فعالیت هدف روی آن انجام می‌شود؛ محدودیتی که در ایستگاه‌های کاری مجهز به چندین درایو ذخیره‌سازی می‌تواند مانع موفقیت حمله شود.

مرتبط: حمله هکرها به OpenAI؛ ماجرای نفوذ از طریق پروژه TanStack چیست؟

به اعتقاد پژوهشگران، بزرگ‌ترین مانع عملی برای بهره‌برداری از FROST نیاز آن به فایل‌هایی با حجم بسیار بالا است، چرا که اشغال ناگهانی ده‌ها یا صدها گیگابایت از فضای ذخیره‌سازی به‌ احتمال زیاد توجه کاربران را جلب خواهد کرد. آنها برای کاهش این خطر، راهکارهایی از جمله محدودسازی اندازه فایل‌های OPFS بر اساس میزان حافظه سیستم یا الزام وب‌سایت‌ها به دریافت مجوز صریح برای ایجاد فایل‌های OPFS را پیشنهاد کرده‌اند. با وجود این، از آنجا که گوگل تکنیک‌های اثرانگشت‌برداری را در دسته آسیب‌پذیری‌های امنیتی طبقه‌بندی نمی‌کند، احتمال اعمال اصلاحات اساسی در سطح مرورگرها در کوتاه‌مدت چندان بالا به نظر نمی‌رسد.