サイトがハードドライブ経由でユーザー監視
原題: Websites Can Now Spy on You Through Your Hard Drive
なぜ重要か
ブラウザの新たなプライバシー脆弱性として、Web開発とサイバーセキュリティ業界への影響が大きい
研究者がFROSTという新技術を発表した。Webサイトが訪問者のSSD活動を測定し、他のタブで開いているサイトやアプリを特定できる手法。JavaScriptとOPFSを使用し、ユーザーの操作なしで動作する。畳み込みニューラルネットワークで解析し、デバイス上の活動を推測可能。
Webサイトが訪問者を監視する新たな手法「FROST(fingerprinting remotely using OPFS-based SSD timing)」が研究論文で詳述された。この技術は、SSDとの微細な相互作用を測定することで、他のタブで開いているサイトやデバイス上で動作するアプリを特定できる。
FROSTは競合サイドチャネル攻撃の一種で、複数のプロセスが同一リソースを使用する際の相互作用を測定する。研究者らは、訪問者のSSDのI/O操作のタイミングを計測することで、他のブラウザタブや開いているアプリケーションを判別することに成功した。
攻撃はブラウザ内でJavaScriptを使用し、OPFS(origin private file system)と呼ばれる専用ストレージ空間と相互作用する。各ファイルシステムはサンドボックス化されているが、JavaScriptはI/O相互作用を測定可能で、事前訓練された畳み込みニューラルネットワークを通じて解析される。
研究者によると「攻撃者は大きなOPFSファイルからランダム読み取りを実行してSSD競合を継続的に測定し、ユーザー活動によるSSD競合が読み取り操作に測定可能な遅延差を引き起こす」という。この手法には制限があり、OPFSファイルは極めて大容量(約1ギガバイト)である必要がある。