Ein österreichisches Sicherheitsforschungsteam hat in einem neuen Paper eine neuartige interaktionsfreie Angriffsmethode namens FROST (Fingerprinting Remotely using OPFS-based SSD Timing) vorgestellt. Diese ermöglicht es bösartigen Websites, ohne Installation von Software oder ohne den Benutzer zum Klicken auf Links zu verleiten, durch Analyse der Lese- und Schreibzeitsteuerung der SSD des Opfers auf dessen Online-Aktivitäten in anderen Tabs oder Browsern zu schließen. Das Angriffsprinzip: Die bösartige Website nutzt die OPFS-Schnittstelle (Origin Private File System) des Browsers, um mehrere GB große Dateien auf die SSD zu schreiben und so die Bandbreite der Festplatte zu blockieren. Gleichzeitig werden die mikroskopischen Zeitunterschiede beim Schreiben temporärer Dateien durch andere Websites analysiert. Mithilfe eines Machine-Learning-Modells können die gesammelten Daten mit einer Genauigkeit von 88,95 % daraufhin ausgewertet werden, welche Websites der Benutzer besucht, und mit einer Genauigkeit von 95,83 % identifiziert werden, welche lokalen Anwendungen gerade genutzt werden. Die Forscher führten experimentelle Validierungen auf Mac- und Linux-Geräten durch und wiesen darauf hin, dass Windows-Geräte ebenfalls nicht immun sind.
Das Beunruhigendste an diesem Angriff ist seine browserübergreifende Eigenschaft: Da der Angriffspfad über die SSD-Hardware auf Betriebssystemebene verläuft, kann theoretisch von einer in Chrome laufenden bösartigen Website aus das Surfverhalten eines Benutzers in Firefox verfolgt werden – die Browser-Sandbox-Isolierung wird damit vollständig umgangen. Der Forscher Hannes Weissteiner erklärte: „Im Prinzip kann jede Systemaktivität, die zuverlässig SSD-Zugriffe erzeugt, zum Trainieren des Modells verwendet werden“, was bedeutet, dass die Angriffsfläche weit über das reine Surfen im Web hinausgeht. Derzeit gibt es noch keine gezielten Browser-Patches. Die Forscher empfehlen Benutzern, nach dem Verlassen einer Webseite den dazugehörigen Tab sofort zu schließen, um das Risiko zu verringern. Zur grundlegenden Behebung der Schwachstelle müssten Browserhersteller oder die Betriebssystemebene Drosselungsmechanismen für den Bandbreitenzugriff von OPFS einführen.