FROST: Kỹ thuật tấn công mới cho phép website theo dõi hoạt động người dùng qua SSD
Các nhà nghiên cứu tại Đại học Công nghệ Graz vừa công bố FROST, một kỹ thuật tấn công cho phép website theo dõi các trang web và ứng dụng bạn đang mở chỉ bằng cách đo độ trễ của ổ cứng SSD thông qua...
Một nhóm nghiên cứu tại Đại học Công nghệ Graz (Áo) vừa công bố một kỹ thuật tấn công mới có tên gọi FROST. Điểm đáng chú ý của phương thức này là nó cho phép các trang web độc hại xác định chính xác người dùng đang truy cập website nào hoặc mở ứng dụng gì mà không cần cài đặt phần mềm, không cần quyền truy cập đặc biệt và hoàn toàn không cần mã native.
Table Of Content
Cơ chế hoạt động của FROST
FROST khai thác tính năng Origin Private File System (OPFS), một thành phần lưu trữ được các trình duyệt hiện đại tích hợp từ năm 2023 để hỗ trợ các ứng dụng web phức tạp. Vì OPFS được thiết kế để cô lập dữ liệu theo từng origin, nó cho phép trang web ghi dữ liệu vào ổ cứng mà không cần hiển thị thông báo xin phép người dùng.
Kỹ thuật này hoạt động bằng cách tạo ra một tệp tin có dung lượng lớn hơn bộ nhớ RAM của máy tính. Khi đó, hệ điều hành không thể lưu trữ toàn bộ tệp trong cache và buộc phải thực hiện các thao tác đọc/ghi trực tiếp trên SSD. Bằng cách đo thời gian thực hiện các lệnh đọc này thông qua JavaScript (sử dụng performance.now()), kẻ tấn công có thể nhận diện được sự thay đổi độ trễ khi người dùng mở các ứng dụng hoặc website khác trên cùng ổ cứng.
Dữ liệu thu thập được sẽ được xử lý qua một mạng thần kinh (neural network) để xác định hành vi người dùng. Trong các thử nghiệm trên macOS, FROST đạt độ chính xác lên tới 88,95% trong việc nhận diện các website phổ biến và 95,83% đối với các ứng dụng native.
Tại sao đây là một vấn đề nghiêm trọng?
Khác với các kỹ thuật trước đây như Secret Spilling Drive (đòi hỏi mã native) hay SnailLoad (dựa vào độ trễ mạng), FROST hoạt động hoàn toàn trong môi trường sandbox của trình duyệt. Điều này biến một cuộc tấn công cục bộ thành một mối đe dọa từ xa (remote attack).
Hiện tại, các nhà sản xuất trình duyệt như Google, Apple và Mozilla đều đã được thông báo về lỗ hổng này. Tuy nhiên, chưa có bản vá nào được triển khai. Google cho rằng việc fingerprinting không được coi là một lỗ hổng bảo mật trực tiếp, trong khi các hãng khác vẫn chưa đưa ra biện pháp khắc phục cụ thể do lo ngại ảnh hưởng đến hiệu suất của các API web.
Cách phòng tránh
Hiện tại, người dùng không có nhiều lựa chọn để tự bảo vệ mình trước FROST ngoài việc đóng các tab trình duyệt nghi vấn. Đối với người dùng Linux, việc sử dụng các công cụ như profile-sync-daemon để lưu trữ profile trình duyệt trên RAM thay vì SSD có thể giúp ngăn chặn hiệu quả kỹ thuật này.
Các chuyên gia cảnh báo rằng FROST là minh chứng cho xu hướng đáng lo ngại khi các trình duyệt ngày càng cấp quyền truy cập gần như trực tiếp vào phần cứng cho các ứng dụng web, từ đó vô tình tạo ra các kênh rò rỉ thông tin tiềm ẩn.
Nguồn tham khảo: The Hacker News
No Comment! Be the first one.