SSD-Zeitangriff lässt Websites auf andere Aktivitäten schließen

Ein neuer Browser-Side-Channel erweitert das ohnehin schon große Arsenal der Web-Überwachung

Forscher haben eine Technik demonstriert, mit der Websites andere Seiten, die ein Besucher ansieht, sowie die auf dem Gerät geöffneten Anwendungen durch die Analyse subtiler SSD-Aktivitäten im Browser ableiten können. Die Methode namens FROST funktioniert, indem sie die Speicherzeiten über JavaScript und das Origin Private File System, kurz OPFS, des Browsers misst.

Bemerkenswert ist das Ergebnis nicht, weil es Daten im herkömmlichen Sinn stiehlt, sondern weil es gewöhnliches Hardwareverhalten in ein Datenschutzleck verwandelt. Dem vorliegenden Bericht zufolge muss der Besucher nichts weiter tun, als die bösartige Website zu öffnen. Von dort aus kann der browserbasierte Code die Konkurrenz bei SSD-E/A-Aktivitäten beobachten und diese Messungen nutzen, um Rückschlüsse auf andere Vorgänge auf dem Rechner zu ziehen.

Warum FROST hervorsticht

Web-Tracking ist bereits ein ausgereifter Rüstungswettlauf mit Cookies, Fingerprinting, Session Replay und immer kreativeren Side-Channels. FROST ist deshalb wichtig, weil es zeigt, wie die wachsenden Fähigkeiten des Browsers neue Überwachungsflächen schaffen können, selbst wenn der direkte Zugriff auf andere Apps oder Tabs durch Sandbox-Regeln blockiert ist.

Der Angriff wird als Konkurrenz-Side-Channel beschrieben. Einfach gesagt beobachtet er, wie mehrere Prozesse um eine geteilte Ressource konkurrieren, in diesem Fall die SSD-E/A, und leitet aus der Dauer bestimmter Vorgänge Hinweise ab. Die Forscher sollen gezeigt haben, dass sie feststellen konnten, welche Websites in anderen Tabs geöffnet waren, sogar in anderen Browsern, sowie welche Anwendungen auf dem Gerät liefen.

Das ist eine deutliche Erinnerung daran, dass Datenschutzgrenzen nicht nur durch Dialogfelder für Berechtigungen und Same-Origin-Policies definiert werden. Sie werden auch durch indirekte physische Signale wie Timing, Cache-Verhalten und gemeinsam genutzte Hardware-Engpässe geprägt. Wenn Browser zu Plattformen für Office-Suiten, Editoren und Entwicklungstools werden, können die Folgen solcher indirekten Lecks zunehmen.

Der Browser ist nun eine viel größere Angriffsfläche

Der vorliegende Bericht zitiert den breiteren Punkt der Forscher: Browser haben sich von einfachen Dokumentenbetrachtern zu komplexen Anwendungsumgebungen entwickelt. Diese Entwicklung bringt offensichtliche Vorteile. Sie ermöglicht reichhaltigere Produktivitätswerkzeuge und leistungsfähigere Web-Apps. Sie erweitert aber auch die Zahl der Funktionen, die missbraucht werden können.

OPFS ist ein Beispiel dafür. Es gibt Websites reservierten Speicherplatz, um fortgeschrittene Funktionen zu unterstützen. Im normalen Einsatz hilft das modernen Anwendungen, besser zu funktionieren. Im feindlichen Einsatz kann es laut Bericht einen Mechanismus bieten, um SSD-Aktivitätsmuster direkt aus einer Webseite heraus nur mit JavaScript zu messen.

Genau das macht FROST aus politischer und sicherheitstechnischer Sicht besonders bedenklich. Es erfordert weder das Installieren von Malware noch das Ausnutzen eines Speicherfehler-Bugs im Browser noch das Überreden des Nutzers, ungewöhnliche Berechtigungen zu erteilen. Wenn die Technik in großem Maßstab praktikabel ist, verwandelt sie einen gewöhnlichen Website-Besuch in einen potenziellen Verhaltenssensor.

Was als Nächstes passiert

Ob FROST zu einer weit verbreiteten Bedrohung wird, hängt von mehreren Faktoren ab, darunter dem Rauschen der Messungen auf verschiedenen Systemen, der Frage, wie gut Browserhersteller das Zeitsignal dämpfen können, und ob reale Angreifer die Technik in zuverlässiges Profiling oder Überwachung umsetzen können. Der Bericht merkt an, dass es frühere SSD-Konkurrenzangriffe gab, FROST aber dadurch einzigartig ist, dass es ausschließlich im Browser läuft.

Diese reine Browser-Natur erhöht den Druck auf Browserhersteller und Standardisierungsgremien. Abwehrmaßnahmen könnten darin bestehen, Zugriffsmuster zu ändern, die Messgenauigkeit zu verringern, APIs einzuschränken oder auf andere Weise die Fähigkeit von Websites zu reduzieren, Speicher-Konkurrenz sauber zu beobachten. Jede Maßnahme bringt Kompromisse mit sich, weil dieselben Fähigkeiten auch legitime Webanwendungen unterstützen.

Für Nutzer ist die unmittelbare Lehre unangenehm, aber vertraut: Der moderne Browser ist eine der am stärksten exponierten Softwarekomponenten für Verbraucher. Er soll sicher genug für Banking, ausdrucksstark genug für professionelle Arbeit und freizügig genug sein, um immer ausgefeilteren Code von unbekannten Websites auszuführen. Diese Anforderungen stehen oft in Spannung zueinander.

FROST bedeutet nicht, dass plötzlich jede Website die Geheimnisse eines Nutzers lesen kann. Es bedeutet aber, dass das Web-Datenschutzmodell weiterhin anfällig für indirekte Lecks ist, die aus dem Systemdesign und nicht aus explizitem Datenaustausch entstehen. In einer Landschaft, in der Tracking-Techniken sich ständig weiterentwickeln, reicht das aus, um diese Forschung relevant zu machen.

Die größere Konsequenz ist klar: Je mehr Rechenfunktionen Browser aufnehmen, desto mehr erfordert der Schutz der Privatsphäre nicht nur das Blockieren offensichtlicher Zugriffe, sondern auch das Antizipieren der Nebenwirkungen, die beim Ausführen vieler leistungsfähiger Anwendungen auf gemeinsam genutzter Hardware entstehen. FROST ist ein weiteres Zeichen dafür, dass diese Nebenwirkungen schwerer zu ignorieren werden.

Dieser Artikel basiert auf der Berichterstattung von Ars Technica. Den Originalartikel lesen.