奥地利安全研究团队在最新论文中披露了一种名为 FROST(Fingerprinting Remotely using OPFS-based SSD Timing)的新型无交互式攻击,可让恶意网站在无需安装任何软件、无需诱导用户点击任何链接的情况下,通过分析受害者固态硬盘(SSD)的数据读写时序,推断用户在其他标签页或其他浏览器中的在线活动。攻击原理是:恶意网站借助浏览器的 OPFS(源私有文件系统)接口,向 SSD 写入数张数 GB 的大文件,以此占据硬盘带宽;与此同时,利用其他站点对硬盘写入临时文件所产生的微秒级时序差异,通过机器学习模型对采集到的数据进行分析,即可以 88.95% 的准确率推测用户正在访问哪些网站、以 95.83% 的准确率识别用户正在使用的本地应用程序。研究人员在 Mac 和 Linux 设备上完成了实验验证,并指出 Windows 设备同样不能免疫。
该攻击最令人警惕之处在于其跨浏览器特性:由于攻击路径经由操作系统层面的 SSD 硬件,理论上可以在 Chrome 运行的恶意网站中追踪用户在 Firefox 中的浏览记录,彻底绕过浏览器的沙箱隔离机制。研究人员 Hannes Weissteiner 表示,“原则上,任何能够可靠产生 SSD 访问的系统活动都可以用来训练模型”,意味着攻击面远不止于网页浏览。目前尚无针对性浏览器补丁,研究人员建议用户在离开网页后立即关闭对应标签页以降低风险;从根本上修复该漏洞需要浏览器厂商或操作系统层面对 OPFS 的带宽访问实施节流限制。