Utilizando únicamente JavaScript y sincronización SSD, los sitios web maliciosos pueden comprender qué sitios visita y qué aplicaciones abre. El ataque, llamado FROST, no requiere código nativo, extensiones ni solicitudes de permiso.
Si abre una página y deja una pestaña allí, monitoreará el progreso del conflicto en segundo plano.
Investigadores de la Universidad Tecnológica de Graz lo construyeron y lo describieron en un nuevo artículo que se presentará en DIMVA 2026. Explota la funcionalidad de almacenamiento presente en los principales navegadores de escritorio y el canal de sincronización subyacente funciona tanto en macOS como en Linux.
Los ataques de sincronización de SSD no son nuevos. El año pasado, el mismo grupo publicó Secret Spilling Drive. Esta unidad lee sus acciones desde la unidad al monitorear cómo la velocidad de lectura disminuye cuando algo más está usando la unidad. El problema era que requería código nativo en la máquina a través de una interfaz de bajo nivel como io_uring en Linux. FROST elimina ese requisito. Se ejecuta dentro del entorno limitado del navegador, convirtiendo los ataques locales en ataques remotos.
Ya no es necesario estar en la máquina para ejecutarlo.
El mismo laboratorio de Graz ya lo ha hecho antes. El ataque SnailLoad no utilizó ningún JavaScript y se basó únicamente en la latencia de la red para inferir qué sitios y vídeos había cargado la víctima.
Cómo funciona el ataque FROST
La forma de hacerlo es con Origin Private File System (OPFS), una función de almacenamiento agregada a los navegadores en 2023. Esto permite que aplicaciones web como editores en el navegador e IDE guarden archivos en el disco. OPFS proporciona a cada origen su propia porción de espacio aislado del sistema de archivos y, debido a que esa porción está aislada, las páginas omiten las solicitudes de permiso que normalmente se requieren para acceder a los archivos. Sin diálogos, sin clics. Puede comenzar a escribir su sitio de inmediato.
Los sistemas operativos normalmente ocultan la sincronización del disco detrás de un caché de página y manejan lecturas repetidas de la memoria para evitar el acceso a la unidad.
FROST evita esto creando archivos más grandes que la RAM de la máquina. El caché no puede contener todo, por lo que las lecturas siguen llegando al SSD. Para Chrome y Safari, OPFS puede escalar hasta el 60% del espacio en disco, lo cual es más que suficiente. Firefox tiene límites bajos para cada origen, pero un atacante puede querer solucionar este problema distribuyendo la carga entre múltiples orígenes.
Luego, el código del atacante lee fragmentos aleatorios de 4 KB de ese archivo en un bucle y mide el tiempo de cada lectura con performance.now(). Los navegadores ralentizan los temporizadores de forma predeterminada para dificultar este tipo de medición, pero los atacantes pueden aumentar aún más la resolución activando el aislamiento entre orígenes. Eres libre de hacer esto en tu propia página.
Si abre un sitio o inicia una aplicación en el mismo disco, esa actividad competirá con la lectura del atacante y el tiempo cambiará drásticamente. Una red neuronal entrenada en base a estos rastros identifica el sitio o la aplicación.
La precisión es la parte desagradable. En Mac, para los 50 sitios web principales, FROST identificó el sitio que estás visitando con una puntuación F1 del 88,95 % en una prueba de mundo cerrado, y mantuvo una puntuación F1 del 86,95 % en una prueba de mundo abierto que agregó 300 sitios nunca antes vistos. Con 10 aplicaciones macOS nativas preinstaladas, alcanzó el 95,83%. El equipo también construyó un canal encubierto sobre la misma señal para mover datos desde la aplicación nativa cooperante a la página maliciosa a través de OPFS a 661,63 bits/segundo en Linux y 719,27 bits/segundo en macOS. Los ataques nativos fueron, en el mejor de los casos, rápidos, pero el código atrapado dentro del entorno limitado del navegador requiere grandes cantidades de datos.
Aunque el canal de sincronización también funciona en Linux, el equipo solo ejecutó el clasificador completo en macOS, por lo que estos números de huellas digitales son resultados de macOS. Además, FROST solo captura la actividad en el mismo disco que el archivo OPFS.
En una computadora portátil de un solo disco, todo se almacena en ese disco. En las estaciones de trabajo con varias unidades, todo lo que se ejecuta en otra unidad está oculto, pero el inicio de aplicaciones que acceden a su directorio de inicio tiende a filtrarse de todos modos.
que puedes hacer
Por ahora no son tantos. Google, Mozilla y Apple fueron informados antes de la publicación. El equipo de Chromium de Google no trata las huellas dactilares como una vulnerabilidad de seguridad. Apple excluyó esto, pero luego dejó margen para la mitigación. Mozilla lo admitió y no envió nada. No existen CVE y no hay evidencia pública de que esta tecnología se utilice en la naturaleza.
Si eso sucede, la defensa será débil. La medición solo se ejecuta mientras la página del atacante está abierta, por lo que al cerrar la pestaña finaliza la medición. También es importante monitorear el almacenamiento de su navegador en busca de archivos de varios gigabytes inexplicables, pero los navegadores no facilitan ver el uso de OPFS.
En Linux, los sistemas que ejecutan perfil-sync-daemon, una utilidad que mantiene los perfiles del navegador en la RAM, están protegidos contra versiones sin clic porque las escrituras OPFS nunca llegan al SSD. Una versión más débil que le permite seleccionar archivos grandes usted mismo mediante un cuadro de diálogo de selección de archivos en la página seguirá funcionando.
La solución que realmente lo cierra depende del fabricante del navegador. Cosas como limitar el tamaño de OPFS para que los archivos quepan en la memoria y no causen contención, suprimir el temporizador de alta resolución mientras se usa OPFS o colocar un mensaje de permiso delante. Cada uno tiene un costo en términos de velocidad y facilidad de uso, lo cual es una de las razones por las que ninguno de ellos se materializó.
El verdadero desacuerdo es si se trata de un error que un sitio web está aprendiendo a solucionar silenciosamente en su máquina o de una función que funciona según lo diseñado. La verdadera preocupación de los investigadores es estructural: los navegadores continúan dando a las aplicaciones web un acceso casi nativo al hardware, y el acceso casi nativo conduce a una fuga casi nativa. FROST es una de las API. Lo que llama la atención es el patrón.
Source link
