FROST nutzt SSD-Zeitmessung im Browser, um geöffnete Websites und Apps zu erkennen

Zusammenfassung

Forscher der Technischen Universität Graz haben mit FROST einen Angriff vorgestellt, bei dem eine bösartige Website allein mit JavaScript und Zeitmessungen am SSD-Speicher ableiten kann, welche Websites ein Nutzer besucht und welche Anwendungen er öffnet. Laut der Arbeit, die auf der DIMVA 2026 erscheinen soll, benötigt die Methode weder nativen Code noch eine Browser-Erweiterung noch eine Berechtigungsabfrage. Der Angriff nutzt das Origin Private File System, kurz OPFS, eine Speicherfunktion, die alle großen Desktop-Browser unterstützen. Die zugrunde liegende Timing-Seitenkanaltechnik funktioniert den Forschern zufolge auf macOS und Linux. Brisant ist dabei vor allem der Wechsel von einem lokalen zu einem entfernten Angriff: Anders als bei früheren SSD-Timing-Angriffen muss sich der Angreifer nicht mehr auf dem Zielsystem befinden, sondern kann den Code innerhalb der Browser-Sandbox ausführen. Solange die präparierte Seite geöffnet bleibt, beobachtet sie im Hintergrund die Konkurrenz um den Massenspeicher und gewinnt daraus Rückschlüsse auf die Aktivitäten des Nutzers.

FROST baut auf früheren Arbeiten desselben Grazer Forschungsteams auf. Im vergangenen Jahr hatte die Gruppe mit „Secret Spilling Drive“ gezeigt, wie sich Nutzerverhalten über Verzögerungen bei Lesezugriffen auf ein Laufwerk ablesen lässt. Der entscheidende Unterschied: Damals war nativer Code auf dem System nötig, etwa über eine niedrigschwellige Schnittstelle wie Linux’ io_uring. FROST verzichtet darauf und läuft vollständig in der Browser-Sandbox.

Als Einfallstor dient OPFS. Diese 2023 eingeführte Speicherfunktion erlaubt Webanwendungen wie Editoren oder browserbasierte Entwicklungsumgebungen, Dateien direkt auf dem Datenträger abzulegen. Jeder Herkunftsbereich erhält dabei einen eigenen abgeschotteten Bereich im Dateisystem. Gerade weil dieser Bereich isoliert ist, entfällt die sonst übliche Berechtigungsabfrage für Dateizugriffe: Eine Website kann sofort mit dem Schreiben beginnen.

Normalerweise verdeckt das Betriebssystem Festplatten-Timing über den Seitencache, weil wiederholte Lesezugriffe aus dem Arbeitsspeicher bedient werden und das Laufwerk gar nicht mehr erreichen. FROST umgeht das, indem es eine Datei erzeugt, die größer ist als der verfügbare Arbeitsspeicher. Der Cache kann sie dann nicht vollständig aufnehmen, sodass Lesezugriffe weiterhin auf der SSD landen. Laut den Forschern kann OPFS in Chrome und Safari auf bis zu 60 Prozent des Speicherplatzes anwachsen. Firefox begrenzt den Platz pro Herkunftsbereich stärker, doch ein Angreifer kann die Last auf mehrere Herkunftsbereiche verteilen.

Der Angriff liest anschließend in einer Schleife zufällige 4-KB-Blöcke aus dieser Datei und misst jede Leseoperation mit performance.now(). Browser verschlechtern die Auflösung ihrer Zeitgeber zwar standardmäßig, um genau solche Messungen zu erschweren. Nach Angaben der Forscher lässt sich die Auflösung jedoch durch Cross-Origin-Isolation auf der eigenen Seite wieder erhöhen.

Sobald auf demselben Laufwerk eine Website geöffnet oder eine Anwendung gestartet wird, konkurriert diese Aktivität mit den Lesezugriffen des Angreifers. Die resultierenden Timing-Verschiebungen sind messbar. Ein auf diesen Spuren trainiertes neuronales Netz ordnet sie dann einer Website oder einer Anwendung zu.

Die in der Arbeit genannten Ergebnisse stammen für die vollständige Klassifikation von macOS. Dort identifizierte FROST unter den 50 meistbesuchten Websites die aufgerufene Seite mit einem F1-Wert von 88,95 Prozent in einem Closed-World-Test. In einem Open-World-Test mit zusätzlich 300 zuvor ungesehenen Websites lag der Wert noch bei 86,95 Prozent. Für zehn vorinstallierte native macOS-Anwendungen erreichte das Verfahren 95,83 Prozent. Zudem baute das Team auf demselben Signal einen verdeckten Kanal auf, der Daten von einer kooperierenden nativen Anwendung zu einer bösartigen Website übertrug: mit 661,63 Bit pro Sekunde unter Linux und 719,27 Bit pro Sekunde unter macOS über OPFS.

Die Forscher betonen zugleich Einschränkungen. Die Timing-Technik funktioniert zwar auch unter Linux, die vollständigen Fingerprinting-Zahlen beziehen sich aber auf macOS. Außerdem erfasst FROST nur Aktivitäten auf demselben Datenträger wie die OPFS-Datei. Auf Notebooks mit nur einem Laufwerk betrifft das typischerweise alle Aktivitäten auf diesem Datenträger; auf Systemen mit mehreren Laufwerken bleiben Programme auf einem anderen Datenträger verborgen, auch wenn Programmstarts mit Zugriffen auf das Home-Verzeichnis laut den Forschern oft dennoch Spuren hinterlassen.

Google, Mozilla und Apple wurden vor der Veröffentlichung informiert. Das Chromium-Team von Google stuft Fingerprinting nicht als Sicherheitslücke ein. Apple bezeichnete den Sachverhalt als nicht vom Geltungsbereich erfasst, schloss eine spätere Abhilfe aber nicht aus. Mozilla bestätigte den Hinweis, hat jedoch noch keine Gegenmaßnahme ausgeliefert. Eine CVE gibt es nicht, und öffentliche Hinweise auf Angriffe mit dieser Methode außerhalb des Labors liegen laut dem Quelltext nicht vor.

Als mögliche Gegenmaßnahmen nennen die Forscher Begrenzungen für die OPFS-Größe, sodass die Datei in den Arbeitsspeicher passt und keine Konkurrenz auf dem Datenträger erzeugt, eine Drosselung hochauflösender Zeitgeber während der OPFS-Nutzung oder eine Berechtigungsabfrage vor dem Zugriff. Alle drei Ansätze hätten jedoch Auswirkungen auf Leistung oder Bedienbarkeit.

FROST nutzt SSD-Zeitmessung im Browser, um geöffnete Websites und Apps zu erkennen

Ähnliche Artikel

Neueste Artikel