研究人员最新发现了一种代号为FROST(基于源私有文件系统OPFS的SSD时序远程指纹识别)的新型网络追踪技术。仅凭访问者打开一次网页,它就能推测出目标在同一设备上同时打开的其他网站,以及正在后台运行的本机应用程序。
这项技术通过浏览器内置的OPFS文件系统运行JavaScript脚本。恶意页面在不征得用户同意的情况下,持续主动采集来自固态硬盘的I/O延迟数据作为分析基础。通常,攻击过程中会生成一个1GB或更大体积的文件,并从中进行多轮随机读取,不断对读取的延迟情况进行记录。
当用户在其他标签页或通过本地应用读写数据时,系统的硬件资源会产生争夺,进而引起目标文件读取过程的时序呈现可被量化的波动。该研究团队便以这类特定读取模式作为输入内容,依靠已训练的卷积神经网络进行时间序列分类,最终判定设备上正在运行的网页或应用程序种类。
研究团队已在基于苹果M2芯片的Mac设备上,实现了对该攻击方式全过程的实际演示,同时在Linux平台也完成了底层机制验证。但FROST攻击存在两大局限:一、依赖超大OPFS文件极易引起用户注意,且攻击仅在与受监测应用处在同一块SSD的硬盘上才奏效,程序运行在单独硬盘时便无法监控;二、对Windows系统平台的适应情况还未完成实际测试。
目前尚未发现FROST已被投放到真实攻击中,产业内部初步呼吁浏览器厂商约束单文件中最大的允许存储容量,用户在使用中也应及时关闭已闲置的活动标签页,并在陌生网站开始主动创建大容量存储内容时提高警惕。完整相关的论文内容计划于今年7月于DIMVA(Detection of Intrusions and Malware & Vulnerability Assessment)国际会议上首次公布。
浙公网安备 33010502007447号