Beveiligingsonderzoekers van de Technische Universiteit Graz in Oostenrijk hebben een opvallende nieuwe aanvalstechniek ontdekt waarmee websites kunnen achterhalen welke apps en webpagina’s je gebruikt. Daarvoor is geen malware, toestemming of interactie van de gebruiker nodig. Gewoon een kwaadaardige website openen zou al voldoende zijn.
De techniek kreeg de naam FROST, wat voor ‘Fingerprinting Remotely using OPFS-based SSD Timing’ staat. In hun onderzoek tonen de onderzoekers aan dat ze via JavaScript in de browser activiteit op een SSD kunnen meten en analyseren. Op basis van die metingen konden ze met opvallend hoge nauwkeurigheid herkennen welke websites of toepassingen actief waren op een testtoestel.
De researchers zeggen dat ze bezochte websites met ongeveer 89 procent nauwkeurigheid konden identificeren. Actieve apps werden zelfs in ongeveer 96 procent van de gevallen correct herkend.
De aanval maakt misbruik van het zogeheten Origin Private File System, kortweg OPFS. Dat is een browserfunctie waarmee websites bestanden lokaal mogen opslaan zonder dat gebruikers daar expliciet toestemming voor moeten geven. Moderne browsers gebruiken die techniek onder meer voor offline webapps en caching.
FROST gebruikt die opslagruimte op een ongebruikelijke manier. De aanval laat een website een enorm bestand aanmaken op de SSD van het slachtoffer. Op systemen met een SSD van 256 GB kan dat bestand volgens de onderzoekers oplopen tot meer dan 150 GB. Omdat dat groter is dan het beschikbare werkgeheugen, moeten leesacties rechtstreeks vanaf de SSD gebeuren in plaats van vanuit het RAM-geheugen.
Daar begint het eigenlijke probleem. Wanneer andere apps of websites ondertussen schijfactiviteit veroorzaken, ontstaan kleine vertragingen in die leesacties. Die timingverschillen blijken uniek genoeg om een soort digitaal patroon van bepaalde websites of programma’s op te bouwen. Met behulp van een AI-model konden de onderzoekers die patronen vervolgens herkennen.
Opvallend is dat de aanval ook werkt over verschillende browsers heen. Een kwaadaardige pagina in Chrome kon bijvoorbeeld activiteit detecteren die afkomstig was uit Safari.
Voorlopig zijn er wel enkele belangrijke beperkingen. De onderzoekers testten de volledige aanval enkel op een Mac Mini met M2-chip, 8 GB RAM en een SSD van 256 GB. Linux-systemen konden gedeeltelijk getest worden, terwijl Windows voorlopig buiten beeld blijft. Daarnaast valt vooral de enorme opslagruimte op die nodig is voor de aanval. Een website die plots tientallen of zelfs honderden gigabytes inneemt op een SSD, kan mogelijk argwaan wekken. Toch vrezen de onderzoekers dat browsermakers het probleem voorlopig niet meteen zullen aanpakken.
Google liet weten dat het fingerprinting niet beschouwt als een beveiligingsprobleem. Apple bestempelde de aanval als ‘momenteel buiten scope’, terwijl Mozilla de melding wel erkende maar nog geen oplossing aankondigde. De onderzoekers stellen zelf enkele mogelijke oplossingen voor, zoals strengere limieten op de grootte van OPFS-bestanden of expliciete toestemming voor websites die grote hoeveelheden opslagruimte willen gebruiken.
Hoewel de aanval dus vooral theoretisch blijft, toont FROST opnieuw aan hoe moderne browserfuncties soms onverwachte privacyrisico’’’s kunnen creëren. Zelfs zonder malware of klassieke hacks blijken websites steeds meer informatie over gebruikerssystemen te kunnen verzamelen.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
