I browser moderni stanno diventando piattaforme applicative sempre più potenti, capaci di accedere a funzionalità avanzate che fino a pochi anni fa erano riservate esclusivamente ai software nativi. Questa evoluzione amplia le possibilità per sviluppatori e utenti ma apre anche nuove superfici di attacco. Un team di ricercatori della Graz University of Technology presenta FROST, un nuovo attacco side-channel che sfrutta il comportamento degli SSD e l’API Origin Private File System (OPFS) per identificare siti web visitati, applicazioni in esecuzione e attività dell’utente direttamente dal browser. L’aspetto più rilevante è che l’intera tecnica funziona in JavaScript, senza installare malware, senza privilegi elevati e senza richiedere alcuna interazione particolare da parte della vittima. Secondo i ricercatori, FROST rappresenta il primo esempio pratico di sfruttamento remoto della contesa sugli SSD come side-channel accessibile interamente da una pagina web. I risultati ottenuti sono significativi: fino all’88% di accuratezza nel riconoscimento dei siti web visitati, fino al 95% nel fingerprinting delle applicazioni e capacità di trasmissione covert che raggiungono 891 bit al secondo su macOS. Il lavoro evidenzia come alcune API progettate per migliorare le prestazioni delle applicazioni web possano involontariamente trasformarsi in strumenti di osservazione dell’attività degli utenti.
Cosa leggere
Come nasce l’attacco FROST
FROST nasce dall’osservazione di una trasformazione profonda dell’ecosistema browser. Tecnologie come WebGPU, WebUSB, File System Access API e sistemi di archiviazione persistente consentono oggi alle applicazioni web di interagire con l’hardware in modi sempre più sofisticati. I ricercatori si concentrano in particolare sull’Origin Private File System, una componente che permette a ogni sito web di archiviare dati persistenti in uno spazio isolato associato alla propria origine. L’OPFS è stato progettato per garantire elevate prestazioni e accessi efficienti ai file senza richiedere autorizzazioni esplicite all’utente. Proprio queste caratteristiche rendono possibile la costruzione di un meccanismo di misurazione delle latenze del disco estremamente accurato. L’idea alla base di FROST è semplice ma efficace: creare condizioni di accesso diretto all’SSD e osservare come le attività svolte da altre applicazioni influenzino i tempi di risposta del dispositivo di archiviazione. Le variazioni di latenza diventano così una fonte di informazioni indirette sull’attività del sistema.
Il ruolo dell’Origin Private File System
L’elemento centrale dell’attacco è l’OPFS, che consente ai siti web di creare e gestire file persistenti direttamente dal browser. Normalmente gli accessi ai file vengono mediati dalla cache del sistema operativo, che riduce il numero di operazioni fisiche effettuate sul disco. I ricercatori scoprono però che è possibile aggirare questo comportamento creando file sufficientemente grandi da superare la capacità della memoria RAM disponibile. Quando il file supera la cache disponibile, ogni lettura deve necessariamente raggiungere il dispositivo di archiviazione fisico. In questo modo il browser diventa in grado di osservare direttamente il comportamento dell’SSD. Utilizzando letture casuali distribuite lungo il file, FROST genera una sequenza continua di misurazioni della latenza che riflettono il livello di attività del disco in tempo reale. Il meccanismo funziona senza richiedere permessi particolari e sfrutta esclusivamente funzionalità legittime previste dagli standard web moderni.
Come JavaScript misura la contesa sull’SSD
Per realizzare l’attacco, la pagina malevola crea un file OPFS di grandi dimensioni, spesso superiore alla memoria fisica disponibile sul sistema. I ricercatori utilizzano ad esempio file da 4 GB su configurazioni dotate di 8 GB di RAM. Successivamente il codice JavaScript esegue letture pseudo-casuali da differenti offset del file e misura il tempo necessario per completare ogni operazione. Le latenze vengono raccolte attraverso performance.now(), che fornisce un timer ad alta precisione. Quando il browser opera in modalità cross-origin isolated tramite gli header COOP e COEP, la precisione del timer aumenta ulteriormente, consentendo osservazioni estremamente dettagliate. I dati raccolti vengono filtrati per eliminare anomalie e valori estremi, mantenendo una rappresentazione stabile del comportamento del disco. Poiché l’SSD è una risorsa condivisa da tutte le applicazioni in esecuzione, qualsiasi attività che genera accessi intensivi al dispositivo produce variazioni osservabili nei tempi di risposta. Queste variazioni diventano la base per costruire modelli di identificazione delle attività dell’utente.
Il threat model dell’attacco
Lo scenario ipotizzato dai ricercatori è particolarmente realistico. L’attaccante deve semplicemente convincere la vittima a visitare una pagina web controllata. Una volta caricata, la pagina esegue codice JavaScript all’interno della sandbox del browser e avvia il monitoraggio delle latenze dell’SSD. Non è necessario scaricare software, installare estensioni o concedere autorizzazioni aggiuntive. L’attacco sfrutta esclusivamente API disponibili normalmente nei browser moderni. La vittima può continuare a utilizzare il computer come di consueto, visitando altri siti o eseguendo applicazioni locali. Il requisito principale è la presenza di un singolo SSD condiviso tra browser e sistema operativo, condizione comune nella maggior parte dei laptop e desktop moderni. In queste circostanze la pagina malevola può raccogliere informazioni indirette sull’attività generale del sistema senza lasciare tracce evidenti e senza generare comportamenti facilmente identificabili dagli strumenti di sicurezza tradizionali.
Website fingerprinting con accuratezza elevata
Una delle dimostrazioni più interessanti riguarda il website fingerprinting. I ricercatori addestrano modelli di classificazione utilizzando le tracce di latenza generate durante il caricamento di cinquanta siti web differenti. Ogni sito produce infatti una sequenza caratteristica di accessi al disco legata al caricamento di immagini, script, fogli di stile e altri contenuti. Sebbene queste attività non siano direttamente osservabili dalla pagina malevola, influenzano il comportamento dell’SSD e quindi i tempi di risposta misurati da FROST. Analizzando queste differenze, il sistema riesce a distinguere i siti visitati dalla vittima con notevole precisione. Nei test condotti su macOS il modello raggiunge un F1 score dell’88%, dimostrando che il browser può inferire l’attività di navigazione dell’utente senza osservare direttamente il traffico di rete o accedere ai contenuti delle pagine visitate. Questo risultato amplia significativamente le implicazioni privacy degli attacchi side-channel basati su risorse condivise.
Fingerprinting delle applicazioni in esecuzione
Oltre ai siti web, FROST riesce a identificare anche applicazioni locali in esecuzione sul sistema. Ogni software produce infatti un profilo caratteristico di accesso al disco durante l’avvio e l’utilizzo. Browser, editor, strumenti professionali e applicazioni multimediali generano pattern differenti che diventano riconoscibili attraverso l’analisi delle latenze SSD. Nei test effettuati su macOS, i ricercatori ottengono un F1 score del 95% nel riconoscimento delle applicazioni. Questo significa che una semplice pagina web può dedurre con elevata probabilità quali programmi l’utente stia utilizzando in background. Il risultato è particolarmente rilevante in contesti aziendali o professionali, dove conoscere l’utilizzo di determinate applicazioni può fornire informazioni sensibili sulle attività dell’utente, sui progetti in corso o sulle tecnologie adottate all’interno di un’organizzazione.
FROST come canale covert ad alta velocità
L’attacco non si limita al fingerprinting. I ricercatori dimostrano anche la possibilità di costruire un vero e proprio canale covert basato sulla contesa dell’SSD. In questo scenario un processo nativo controllato dall’attaccante genera accessi al disco per rappresentare bit logici, mentre il browser interpreta le variazioni di latenza come dati trasmessi. Il sistema utilizza finestre temporali estremamente brevi e soglie dinamiche per distinguere tra attività e inattività del disco. I risultati ottenuti sono sorprendenti. Su Linux il canale raggiunge una capacità di circa 661 bit al secondo, mentre su macOS arriva fino a 891 bit al secondo. Queste velocità superano molti precedenti attacchi side-channel basati su cache CPU o GPU e dimostrano che le risorse di archiviazione possono essere utilizzate come mezzo di comunicazione nascosto tra processi separati.
Perché FROST preoccupa la comunità di sicurezza
L’aspetto più inquietante dell’attacco è la sua natura completamente remota. Molti side-channel storici richiedevano l’esecuzione di codice locale o privilegi elevati per osservare risorse condivise. FROST dimostra invece che un browser moderno dispone già degli strumenti necessari per costruire un osservatore efficace del comportamento del sistema. La combinazione tra storage persistente, accessi ad alte prestazioni e timer precisi crea una superficie di attacco inattesa. Dal punto di vista dell’utente non esistono indicatori evidenti dell’attività malevola. La pagina web continua a funzionare normalmente mentre raccoglie dati sulle attività svolte in parallelo. Questa caratteristica rende particolarmente difficile individuare l’attacco attraverso comportamenti anomali visibili o segnalazioni da parte del browser.
I sistemi operativi coinvolti
I test sperimentali vengono eseguiti sia su Linux sia su macOS. La piattaforma Linux utilizza un sistema basato su AMD Ryzen 7 5800X3D, 32 GB di RAM e SSD SanDisk da 256 GB. Su macOS viene impiegato un sistema Apple M2 con 8 GB di memoria e SSD da 256 GB. In entrambi i casi l’attacco produce risultati significativi. I ricercatori evidenziano che il fenomeno non dipende da una specifica architettura hardware ma dal comportamento generale degli SSD e dal modo in cui i browser interagiscono con l’OPFS. Questo suggerisce che il problema potrebbe interessare una vasta gamma di dispositivi consumer e professionali. La natura trasversale dell’attacco aumenta la preoccupazione per le sue implicazioni future.
Le implicazioni sulla privacy degli utenti
Dal punto di vista della privacy, FROST introduce uno scenario particolarmente delicato. Un sito web malevolo potrebbe monitorare le abitudini di navigazione dell’utente, identificare applicazioni utilizzate per lavoro o svago, dedurre comportamenti quotidiani e costruire profili dettagliati senza accedere direttamente ai contenuti. Aziende pubblicitarie, gruppi criminali o attori di spionaggio potrebbero sfruttare tecniche simili per raccogliere informazioni che normalmente sarebbero protette dalla separazione tra processi e dalla sandbox del browser. La capacità di inferire attività da segnali indiretti dimostra ancora una volta come la privacy non dipenda esclusivamente dalla protezione dei dati espliciti, ma anche dalla gestione delle informazioni che possono essere dedotte attraverso osservazioni collaterali.
Le possibili contromisure
I ricercatori propongono diverse mitigazioni, ma nessuna risulta priva di compromessi. Una possibilità consiste nel limitare la dimensione massima dei file OPFS, riducendo la capacità di forzare accessi diretti all’SSD. Un’altra opzione prevede la riduzione della precisione dei timer anche quando sono attivi gli header COOP e COEP. Si potrebbe inoltre introdurre rumore artificiale nelle misurazioni o modificare il comportamento dell’API per impedire accessi ripetuti ad alta frequenza. Tuttavia ogni soluzione rischia di influire negativamente sulle prestazioni delle applicazioni web che utilizzano legittimamente queste funzionalità. I produttori di browser dovranno quindi valutare attentamente il bilanciamento tra funzionalità avanzate e riduzione della superficie di attacco.
Un nuovo capitolo nei side-channel browser
FROST rappresenta un’evoluzione importante nel panorama degli attacchi side-channel. Per anni la ricerca si è concentrata su cache CPU, GPU, memoria condivisa e timer ad alta precisione. L’utilizzo dell’SSD come sorgente di informazioni dimostra che qualsiasi risorsa condivisa può potenzialmente trasformarsi in un canale di leakage quando le piattaforme software diventano sufficientemente potenti. Il lavoro della Graz University of Technology evidenzia come le moderne API web stiano avvicinando sempre più il browser alle capacità delle applicazioni native, portando con sé gli stessi rischi di sicurezza. La sfida per i produttori di browser sarà continuare a innovare senza introdurre nuovi strumenti involontari di sorveglianza.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
