Un ataque de temporización en SSD permite a los sitios inferir qué más estás haciendo

Un nuevo canal lateral del navegador amplía aún más la ya amplia caja de herramientas de vigilancia de la web

Investigadores han demostrado una técnica que permite a los sitios inferir qué otras páginas está viendo un visitante y qué aplicaciones están abiertas en el dispositivo, analizando una actividad sutil del SSD desde el navegador. El método, llamado FROST, funciona midiendo la temporización del almacenamiento mediante JavaScript y el sistema de archivos privado de origen del navegador, o OPFS.

El resultado es notable no porque robe datos en el sentido convencional, sino porque convierte el comportamiento habitual del hardware en una fuga de privacidad. Según el informe proporcionado, el visitante no necesita hacer nada más que abrir el sitio hostil. A partir de ahí, el código basado en el navegador puede observar la contención en la entrada y salida del SSD y usar esas mediciones para inferir información sobre lo que está ocurriendo en la máquina.

Por qué destaca FROST

El rastreo web ya es una carrera armamentística madura que incluye cookies, fingerprinting, session replay y canales laterales cada vez más creativos. FROST importa porque muestra cómo las capacidades crecientes del navegador pueden crear nuevas superficies de vigilancia incluso cuando el acceso directo a otras aplicaciones o pestañas está bloqueado por las reglas del sandbox.

El ataque se describe como un canal lateral de contención. En términos simples, observa cómo múltiples procesos compiten por un recurso compartido, en este caso la E/S del SSD, y extrae pistas del tiempo que tardan ciertas operaciones en completarse. Los investigadores habrían demostrado que podían determinar qué sitios estaban abiertos en otras pestañas, incluso en otros navegadores, así como las aplicaciones que se ejecutaban en el dispositivo.

Esto recuerda con fuerza que los límites de privacidad no los definen solo los cuadros de permisos y las políticas de mismo origen. También están moldeados por señales físicas indirectas, como la temporización, el comportamiento de la caché y los cuellos de botella compartidos del hardware. A medida que los navegadores se convierten en plataformas para suites de oficina, editores y herramientas de desarrollo, las consecuencias de estas fugas indirectas pueden crecer.

El navegador ahora es una superficie de ataque mucho mayor

El informe proporcionado cita la idea más amplia de los investigadores: los navegadores han pasado de ser simples visores de documentos a entornos de aplicaciones complejos. Esa evolución tiene ventajas obvias. Permite herramientas de productividad más ricas y aplicaciones web más capaces. Pero también amplía el número de funciones que pueden ser mal utilizadas.

OPFS es un ejemplo. Ofrece a los sitios un espacio de almacenamiento reservado para soportar funcionalidades avanzadas. En el uso normal, eso ayuda a que las aplicaciones modernas funcionen mejor. En uso adversario, sugiere el informe, puede proporcionar un mecanismo para medir patrones de actividad del SSD desde una página web usando solo JavaScript.

Esto es lo que hace que FROST sea especialmente preocupante desde el punto de vista de la política y la seguridad. No requiere instalar malware, explotar un fallo de corrupción de memoria del navegador ni convencer al usuario para que conceda permisos inusuales. Si la técnica es práctica a gran escala, convierte una visita ordinaria a un sitio en un posible sensor de comportamiento.

Qué sucede después

Que FROST se convierta o no en una amenaza generalizada dependerá de varios factores, incluido cuán ruidosas sean las mediciones en distintos sistemas, hasta qué punto los fabricantes de navegadores pueden atenuar la señal de temporización, y si atacantes reales pueden convertir la técnica en perfilado o vigilancia fiables. El informe señala que ya existían ataques previos de contención en SSD, pero FROST es distinto porque funciona exclusivamente dentro del navegador.

Esa naturaleza exclusiva del navegador aumenta la presión sobre los fabricantes de navegadores y los grupos de estandarización. Las defensas podrían implicar cambiar patrones de acceso, degradar la precisión de la medición, restringir API o reducir de otro modo la capacidad de los sitios para observar con claridad la contención del almacenamiento. Cada mitigación tiene costes, porque algunas de esas mismas capacidades también respaldan aplicaciones web legítimas.

Para los usuarios, la lección inmediata es incómoda pero familiar: el navegador moderno es una de las piezas de software de consumo más expuestas. Se espera que sea lo bastante seguro para la banca, lo bastante expresivo para el trabajo profesional y lo bastante permisivo para ejecutar código cada vez más sofisticado de sitios desconocidos. Esas exigencias suelen estar en tensión.

FROST no significa que cualquier sitio pueda de repente leer los secretos de un usuario. Sí significa que el modelo de privacidad de la web sigue siendo vulnerable a fugas indirectas que surgen del diseño del sistema y no del intercambio explícito de datos. En un panorama donde las técnicas de rastreo siguen mutando, eso basta para que esta investigación sea relevante.

La implicación más amplia es clara. A medida que los navegadores absorben más funciones de computación, defender la privacidad del usuario exigirá no solo bloquear el acceso evidente, sino anticipar los efectos secundarios de ejecutar muchas aplicaciones potentes sobre hardware compartido. FROST es otra señal de que esos efectos secundarios se están volviendo más difíciles de ignorar.

Este artículo se basa en la cobertura de Ars Technica. Leer el artículo original.