Uma equipe de pesquisa de segurança austríaca revelou em um novo artigo um novo tipo de ataque sem interação chamado FROST (Fingerprinting Remotely using OPFS-based SSD Timing), que permite que sites maliciosos, sem a necessidade de instalar qualquer software ou induzir o usuário a clicar em qualquer link, infiram as atividades online do usuário em outras abas ou navegadores analisando o tempo de leitura e gravação de dados do SSD da vítima. O princípio do ataque é: o site malicioso utiliza a interface OPFS (Origin Private File System) do navegador para gravar vários arquivos grandes de vários GB no SSD, ocupando assim a largura de banda do disco; simultaneamente, utilizando as diferenças de tempo em microssegundos geradas por outros sites ao gravar arquivos temporários no SSD, os dados coletados são analisados por meio de um modelo de aprendizado de máquina, que consegue adivinhar quais sites o usuário está visitando com 88,95% de precisão e identificar o aplicativo local que o usuário está usando com 95,83% de precisão. Os pesquisadores realizaram a verificação experimental em dispositivos Mac e Linux e apontaram que dispositivos Windows também não são imunes.
O aspecto mais alarmante desse ataque é sua característica cross-browser: como o caminho do ataque passa pelo hardware SSD no nível do sistema operacional, é teoricamente possível rastrear o histórico de navegação do usuário no Chrome a partir de um site malicioso em execução no Firefox, contornando completamente o mecanismo de isolamento de sandbox do navegador. O pesquisador Hannes Weissteiner afirma que „em princípio, qualquer atividade do sistema que gere acesso confiável ao SSD pode ser usada para treinar o modelo“, o que significa que a superfície de ataque vai muito além da navegação na web. Atualmente, não há patches específicos para navegadores; os pesquisadores recomendam que os usuários fechem imediatamente as abas correspondentes após sair de uma página para reduzir o risco; para corrigir fundamentalmente essa vulnerabilidade, seria necessário que os fabricantes de navegadores ou o sistema operacional implementassem limitação de largura de banda para o acesso à OPFS.