Teknoloji dünyasında güvenlik alanında yeni bir gelişme yaşanıyor. Avusturya'daki Graz Teknoloji Üniversitesi'nde görevli araştırmacılar, bir web sitesinin, tarayıcı içindeki JavaScript aracılığıyla kullanıcının SSD (Katı Hal Sürücüsü) erişimini izleyerek hangi uygulamaları ve web sitelerini kullandığını tespit edebileceğini ortaya koyan bir saldırı yöntemi geliştirdi. FROST (Fingerprinting Remotely using OPFS-based SSD Timing) adı verilen bu teknik, kullanıcıdan hiçbir ek izin istemeden ve herhangi bir etkileşimde bulunmadan, ziyaret edilen web sitelerini ortalama %89, çalışan uygulamaları ise ortalama %96 doğrulukla tespit edebiliyor.
FROST saldırısı, web sitelerinin kullanıcı izni olmadan yerel diske dosya oluşturup depolamasına olanak tanıyan bir tarayıcı API'si olan Origin Private File System (OPFS) özelliğini kullanıyor. Daha önceki SSD tabanlı yan kanal saldırılarının genellikle ayrıcalıklı çekirdek arayüzlerinden çalışan yerel kod gerektirdiğini belirten araştırmacılar, FROST'un bu gerekliliği ortadan kaldırdığını vurguluyor.
Araştırmacılar, bulgularını ilgili teknoloji devleriyle paylaştı. Yapılan açıklamalarda, bir firmanın parmak izi almayı bir güvenlik açığı olarak görmediği, bir diğerinin ise saldırının mevcut kapsam dışında olduğunu belirttiği, üçüncü taraf ise durumu kabul etse de henüz bir düzeltme implemente etmediği bildirildi.
Saldırının çalışma prensibi oldukça ilgi çekici. Saldırganın web sayfası, kullanıcının SSD'sine büyük bir OPFS dosyası oluşturuyor. Hem Chrome hem de Safari gibi tarayıcılar, bir web sitesinin toplam disk alanının %60'ına kadarını OPFS aracılığıyla kullanmasına izin veriyor. Bu da örneğin 256 GB'lık bir sürücüde 150 GB'dan fazla bir alan anlamına geliyor. Oluşturulan bu dosyanın, sistemin kullanılabilir RAM'inden daha büyük olması sağlanarak, her rastgele 4 KB'lık okuma işleminin işletim sisteminin önbelleği yerine doğrudan SSD'ye yönlendirilmesi hedefleniyor. Kullanıcının diğer uygulamaları disk G/Ç (Giriş/Çıkış) işlemi yaptığında, bu durum saldırganın okuma işlemlerinde ölçülebilir gecikme artışlarına neden oluyor. Bu zamanlama örüntüleri, makine öğrenmesi ile eğitilmiş bir model tarafından belirli web siteleri ve uygulamaların G/Ç imzalarına göre sınıflandırılıyor.
Bu saldırının en dikkat çekici yanlarından biri, veri içeriğinin depolama katmanında gerçekleşmesi nedeniyle tarayıcılar arası çalışabilmesi. Saldırgan sayfasının Chrome'da açık olduğu bir durumda Safari'de gezinen bir kullanıcının takibinde, aynı tarayıcıdaki saldırıya kıyasla sadece %3.38'lik bir performans düşüşü gözlemlendiği belirtildi.
Tam parmak izi saldırısı şimdilik 8 GB RAM ve 256 GB SSD'ye sahip bir M2 Mac Mini üzerinde test edildi. Linux üzerinde SSD gecikmesinin tarayıcıdan ölçülebileceği doğrulansa da, tam sınıflandırma yapılmadı. Windows üzerinde ise henüz bir test gerçekleştirilmedi. Ayrıca, OPFS dosyasının izlenen etkinlikle aynı fiziksel SSD üzerinde bulunması gerekiyor ki bu durum, birden fazla sürücüye sahip iş istasyonlarında her zaman garanti edilmiyor.
Saldırının şu anki en büyük engeli, oluşturulan dosyanın boyutu. Kullanıcıların aniden onlarca veya yüzlerce gigabaytlık disk alanı kaybettiğini fark etmesi muhtemel. Araştırmacılar, OPFS dosya boyutlarını sistem belleğine sığacak şekilde sınırlama veya OPFS dosya oluşturma işlemleri için açık izin gerektirme gibi çözüm önerileri sunuyor. Ancak parmak izi almanın bir güvenlik sorunu olarak görülmediği düşünüldüğünde, tarayıcı düzeyinde yakın zamanda bir düzeltme beklenmiyor.
