新たなブラウザのサイドチャネルが、もともと広大なWeb監視の道具立てをさらに広げる

研究者たちは、ブラウザ内での微妙なSSDの動きを解析することで、サイトが訪問者の閲覧中の他サイトや端末上で開いているアプリを推測できる手法を実証した。この手法はFROSTと呼ばれ、JavaScriptとブラウザのorigin private file system、つまりOPFSを使ってストレージのタイミングを測定する。

この結果が注目されるのは、従来型の意味でデータを盗むからではない。通常のハードウェアの挙動をプライバシー漏えいに変えてしまうからだ。提供された報道によれば、訪問者は敵対的なサイトを開くだけでよい。そこからブラウザベースのコードがSSDの入出力競合を観測し、その測定結果から端末内で他に何が起きているのかを推測できる。

FROSTが際立つ理由

Webトラッキングはすでに、Cookie、フィンガープリンティング、セッションリプレイ、そしてますます巧妙なサイドチャネルが入り乱れる成熟した競争状態にある。FROSTが重要なのは、他のアプリやタブへの直接アクセスがサンドボックスのルールで遮断されていても、ブラウザの機能拡張が新たな監視面を生み得ることを示した点にある。

この攻撃は競合型サイドチャネルとして説明されている。簡単に言えば、複数のプロセスが共通資源、ここではSSDのI/Oを奪い合う様子を観測し、特定の操作が完了するまでの時間から手がかりを得る。報道によれば、研究者は他のタブ、さらには他のブラウザで開かれているサイトや、端末上で動作しているアプリまで判別できることを示したという。

これは、プライバシーの境界が権限ダイアログや同一オリジンポリシーだけで決まるわけではない、という強い警告でもある。タイミング、キャッシュの挙動、共有ハードウェアのボトルネックといった間接的な物理シグナルによっても形作られる。ブラウザがオフィススイート、エディタ、開発ツールのプラットフォームになるにつれ、こうした間接的漏えいの影響はさらに大きくなる可能性がある。

ブラウザは今や、ずっと大きな攻撃対象面になっている

提供された報道は、研究者のより広い指摘を引用している。ブラウザは、単なる文書閲覧ツールから複雑なアプリケーション環境へと進化した。その進化には明白な利点がある。より豊かな生産性ツールや、より高機能なWebアプリを可能にするからだ。しかし同時に、悪用可能な機能も増える。

OPFSはその一例だ。高度な機能を支えるために、サイトに専用のストレージ領域を与える。通常利用では、現代的なアプリの性能向上に役立つ。だが敵対的な利用では、報道が示すように、JavaScriptだけでWebページ内からSSDの活動パターンを測定する手段になり得る。

これがFROSTを政策面・セキュリティ面で特に懸念すべきものにしている。マルウェアのインストールも、ブラウザのメモリ破壊脆弱性の悪用も、異常な権限の付与をユーザーに求めることも必要ない。もしこの技術が大規模に実用可能なら、普通のサイト閲覧が行動センサーになり得る。

今後どうなるか

FROSTが広く実際の脅威になるかどうかは、システムごとの測定ノイズの大きさ、ブラウザベンダーがタイミング信号をどこまで弱められるか、そして現実の攻撃者がこの技術を信頼できるプロファイリングや監視に転用できるかに左右される。報道によれば、以前にもSSD競合攻撃は存在したが、FROSTはブラウザ内だけで動作する点が異なる。

このブラウザ限定という性質は、ブラウザベンダーと標準化団体への圧力を高める。対策としては、アクセスパターンの変更、測定精度の低下、APIの制限、あるいはサイトがストレージ競合を鮮明に観測できないようにすることなどが考えられる。ただし、こうした緩和策にはそれぞれトレードオフがある。同じ機能が正当なWebアプリにも必要だからだ。

ユーザーにとっての当面の教訓は不快だが、よく知られたものでもある。現代のブラウザは、消費者向けソフトウェアの中でも特に露出の大きい部類だ。銀行取引に十分安全で、仕事にも十分表現力があり、未知のサイトからますます高度なコードを実行するのに十分な自由度も求められている。これらの要求はしばしば互いに緊張関係にある。

FROSTは、どのサイトでも突然ユーザーの秘密を読めるようになることを意味しない。だが、Webのプライバシーモデルが、明示的なデータ共有ではなくシステム設計に起因する間接的な漏えいに依然として脆弱だということを示している。追跡技術が変異し続ける状況では、それだけでもこの研究は十分に重要だ。

より大きな含意は明快だ。ブラウザがより多くの計算機能を取り込むほど、ユーザープライバシーの防御には、目に見えるアクセスを遮断するだけでなく、多数の強力なアプリケーションを共有ハードウェア上で動かしたときの副作用を予測することが必要になる。FROSTは、その副作用がますます無視できなくなっていることを示すもう一つの兆候だ。

この記事はArs Technicaの報道に基づいています。元記事を読む

Originally published on arstechnica.com