Η τεχνική, η οποία παρουσιάζεται αναλυτικά σε νέα ερευνητική εργασία, εκμεταλλεύεται ένα «πλευρικό κανάλι» (side channel). Πρόκειται για μια μορφή διαρροής δεδομένων που προκύπτει από φυσικές εκδηλώσεις του υλικού (hardware), όπως οι ηλεκτρομαγνητικές εκπομπές, οι προσωρινές μνήμες δεδομένων (caches) ή ο χρόνος που απαιτείται για την ολοκλήρωση μιας εργασίας.

Η συγκεκριμένη επίθεση που χρησιμοποιεί το FROST βασίζεται στον λεγόμενο «ανταγωνισμό πόρων» (contention side channel). Μέσα από αυτή, μετράται η αλληλεπίδραση διαφόρων διεργασιών του συστήματος που ανταγωνίζονται για τη χρήση του ίδιου πόρου (στην προκειμένη περίπτωση, του σκληρού δίσκου).

Μετρώντας απλώς τον χρόνο που χρειάζονται ορισμένες λειτουργίες εισόδου-εξόδου (I/O) του SSD, οι ερευνητές κατάφεραν να προσδιορίσουν:

Ποιες ιστοσελίδες είναι ανοιχτές σε άλλες καρτέλες (ακόμη και σε διαφορετικούς browsers).

Ποιες εφαρμογές (apps) εκτελούνται στη συσκευή του χρήστη.

Το FROST δεν απαιτεί καμία απολύτως αλληλεπίδραση από τον χρήστη. Το μόνο που χρειάζεται είναι να ανοίξει την ιστοσελίδα που φιλοξενεί την επίθεση.

Το JavaScript και η τεχνητή νοημοσύνη στην υπηρεσία των χάκερ

Οι σύγχρονοι browsers έχουν εξελιχθεί από απλοί θεατές εγγράφων σε περίπλοκες πλατφόρμες ικανές να τρέχουν βαριές εφαρμογές (όπως σουίτες γραφείου, προγράμματα επεξεργασίας εικόνας/βίντεο κ.λπ.).

Αντίθετα με παλαιότερες επιθέσεις σε σκληρούς δίσκους, το FROST εκτελείται αποκλειστικά μέσα στον browser. Χρησιμοποιεί κώδικα JavaScript που αλληλεπιδρά με το OPFS (Origin Private File System) – έναν απομονωμένο χώρο αποθήκευσης που παραχωρείται αυτόματα σε κάθε ιστοσελίδα για να τρέχει τον κώδικά της. Οι ιστοσελίδες μπορούν να δημιουργήσουν ένα τέτοιο αρχείο χωρίς να ζητήσουν την άδεια του χρήστη.

Αν και αυτό το σύστημα αρχείων είναι “sandboxed” (απομονωμένο από άλλες ιστοσελίδες και το ίδιο το λειτουργικό σύστημα), η JavaScript μπορεί να μετρήσει τις καθυστερήσεις στις αλληλεπιδράσεις του δίσκου. Στη συνέχεια, περνώντας αυτά τα δεδομένα μέσα από ένα προεκπαιδευμένο Συνελικτικό Νευρωνικό Δίκτυο (CNN) –ένα σύστημα τεχνητής νοημοσύνης βαθιάς μάθησης– ο επιτιθέμενος μπορεί να αναγνωρίσει με ακρίβεια τις ανοιχτές εφαρμογές και τα sites.

Οι περιορισμοί της μεθόδου

Η τεχνική FROST, ωστόσο, έχει δύο σημαντικούς περιορισμούς:

Το αρχείο OPFS που δημιουργεί η κακόβουλη ιστοσελίδα πρέπει να είναι εξαιρετικά μεγάλο, συνήθως ένα gigabyte (GB) ή και περισσότερο. Αυτό σημαίνει ότι μια μαζική επίθεση θα γινόταν εύκολα αντιληπτή από τους χρήστες λόγω της ξαφνικής κατανάλωσης χώρου.

Το αρχείο πρέπει να βρίσκεται στον ίδιο SSD που χρησιμοποιεί ο χρήστης. Αν οι εφαρμογές του συστήματος είναι εγκατεστημένες σε δεύτερο, ξεχωριστό σκληρό δίσκο, το FROST δεν μπορεί να τις εντοπίσει.

Μέχρι στιγμής, οι ερευνητές πραγματοποίησαν την πλήρη επίθεση FROST με επιτυχία σε υπολογιστή Mac με επεξεργαστή M2. Σε περιβάλλον Linux, απέδειξαν ότι ο μηχανισμός μέτρησης λειτουργεί εξίσου καλά, οπότε αναμένουν τα ίδια αποτελέσματα, ενώ δεν έχουν κάνει ακόμα δοκιμές σε περιβάλλον Windows.

Προς το παρόν, δεν υπάρχουν ενδείξεις ότι η επίθεση αυτή έχει χρησιμοποιηθεί στην πράξη από πραγματικούς χάκερ, ενώ η επίσημη παρουσίαση της έρευνας θα γίνει στο συνέδριο ασφαλείας DIMVA τον προσεχή Ιούλιο.

Πώς να προστατευτείτε

Ένας από τους απλούστερους τρόπους για να αποτρέψετε τέτοιου είδους επιθέσεις είναι να κλείνετε τις καρτέλες (tabs) των ιστοσελίδων μόλις σταματάτε να τις χρησιμοποιείτε, ώστε να μην τους επιτρέπετε να τρέχουν κώδικα στο παρασκήνιο.

Για τους πιο προχωρημένους χρήστες, προτείνεται η παρακολούθηση της δημιουργίας και του μεγέθους των αρχείων OPFS από άγνωστα sites. Παράλληλα, οι ερευνητές έχουν ήδη προτείνει λύσεις στους κατασκευαστές των browsers (όπως η Google και η Apple) για να κλείσουν αυτό το κενό ασφαλείας, θέτοντας, για παράδειγμα, ένα αυστηρό ανώτατο όριο στο μέγεθος των αρχείων OPFS που μπορεί να αποθηκεύει μια ιστοσελίδα.