Los sitios web recurren a un nuevo método para rastrear a sus visitantes: analizar la actividad de sus unidades SSD.
Cualquier sitio web puede averiguar qué pestañas y aplicaciones tienes abiertas en tu dispositivo.
Los sitios web obtuvieron otra forma oculta de rastrear a los visitantes. Para ello no se necesitan cámara, micrófono ni una extensión maliciosa. Basta con código JavaScript habitual que detecta retrasos apenas perceptibles en el funcionamiento de la unidad de estado sólido.
El nuevo método se llama FROST, o fingerprinting remoto mediante la temporización de SSD basada en OPFS. Los investigadores demostraron que un sitio puede, por la actividad del almacenamiento, saber qué otros sitios tiene abiertos el usuario, incluso en otro navegador, así como qué aplicaciones se están ejecutando en el dispositivo.
FROST utiliza un canal lateral de fuga de datos. Así se denomina la situación en la que información secreta puede obtenerse no de forma directa, sino a través de señales indirectas: el tiempo de ejecución de una operación, el comportamiento de la caché, señales electromagnéticas o retrasos al acceder a dispositivos. En este caso, el sitio mide cómo distintos procesos compiten por el acceso a la unidad de estado sólido.
El ataque funciona a través de OPFS, el sistema de archivos privado por origen. Los navegadores asignan ese espacio de almacenamiento a un sitio para que las aplicaciones web puedan realizar sus tareas. El espacio está aislado de otros sitios y del sistema de archivos principal del dispositivo, pero JavaScript aun así puede medir los retrasos al leer y escribir.
El esquema es así: sitio web malicioso crea un archivo grande en OPFS y lee datos de forma aleatoria de manera constante. Cuando el usuario abre otros sitios en paralelo o inicia aplicaciones, el almacenamiento atiende más solicitudes. Debido a la competencia cambian los retrasos de lectura. Con esas señales, una red neuronal previamente entrenada puede determinar qué actividad se está realizando en el dispositivo.
Según los autores del trabajo, los navegadores dejaron de ser hace tiempo programas simples para ver páginas. Dentro del navegador ahora funcionan suites ofimáticas, editores de foto y vídeo, entornos de desarrollo y otras aplicaciones complejas. Las nuevas capacidades hacen que los servicios web sean más cómodos, pero al mismo tiempo amplían la superficie de ataque.
FROST tiene limitaciones. Para el ataque se necesita un archivo OPFS muy grande, probablemente de alrededor de 1 GB. Si se aplicara ese método de forma masiva, sería difícil ocultarlo, ya que parte de los usuarios notaría el volumen sospechosamente grande de datos creado por el sitio. Además, el archivo OPFS debe estar en el mismo SSD cuya actividad se intenta medir. Para rastrear los sitios abiertos, esta condición suele cumplirse porque el navegador almacena OPFS en la ubicación estándar. Pero si las aplicaciones trabajan desde otro almacenamiento, FROST no las verá.
Los especialistas realizaron el ataque completo en un Mac con procesador M2. En Linux comprobaron el mecanismo básico y mostraron que JavaScript puede medir los retrasos de acceso al almacenamiento, pero no ejecutaron la versión completa del ataque. Según la valoración de uno de los autores del trabajo, Hannes Weissteiner, el rendimiento similar del mecanismo básico en macOS y Linux permite esperar resultados parecidos con la clasificación completa. No lo probaron en Windows.
Se puede protegerse de este método con medidas sencillas. Se recomienda a los usuarios cerrar pestañas innecesarias, y a los propietarios más experimentados vigilar si sitios desconocidos están creando archivos OPFS grandes. Los autores del trabajo también propusieron a los desarrolladores de navegadores limitar el tamaño máximo de esos archivos para bloquear el canal lateral.
No hay indicios de que FROST se haya utilizado ya en ataques reales. Los especialistas presentarán los detalles en julio en la conferencia DIMVA.