Ataque de temporização em SSD permite que sites infiram o que mais você está fazendo

Um novo canal lateral no navegador amplia o já vasto arsenal de vigilância da web

Pesquisadores demonstraram uma técnica que permite aos sites inferir quais outros sites um visitante está visualizando e quais aplicativos estão abertos no dispositivo, analisando a atividade sutil de um SSD a partir do navegador. O método, chamado FROST, funciona medindo o tempo de armazenamento por meio de JavaScript e do origin private file system, ou OPFS, do navegador.

O resultado é notável não porque roube dados no sentido convencional, mas porque transforma o comportamento normal do hardware em uma fuga de privacidade. De acordo com o relatório fornecido, o visitante não precisa fazer nada além de abrir o site hostil. A partir daí, o código baseado no navegador pode observar contenção na atividade de entrada e saída do SSD e usar essas medições para inferir informações sobre o que mais está acontecendo na máquina.

Por que o FROST se destaca

O rastreamento na web já é uma corrida armamentista madura, envolvendo cookies, fingerprinting, session replay e canais laterais cada vez mais criativos. O FROST importa porque mostra como as capacidades crescentes do navegador podem criar novas superfícies de vigilância, mesmo quando o acesso direto a outros aplicativos ou abas é bloqueado por regras de sandbox.

O ataque é descrito como um canal lateral de contenção. Em termos simples, ele observa como vários processos competem por um recurso compartilhado, neste caso a E/S do SSD, e deriva pistas a partir do tempo que certas operações levam para ser concluídas. Os pesquisadores teriam mostrado que podiam determinar quais sites estavam abertos em outras abas, inclusive em outros navegadores, além de aplicativos em execução no dispositivo.

Isso é um lembrete poderoso de que os limites de privacidade não são definidos apenas por diálogos de permissão e políticas de mesma origem. Eles também são moldados por sinais físicos indiretos, como temporização, comportamento de cache e gargalos compartilhados de hardware. À medida que os navegadores se tornam plataformas para suítes de escritório, editores e ferramentas de desenvolvimento, as consequências dessas fugas indiretas podem crescer.

O navegador agora é uma superfície de ataque muito maior

O relatório fornecido cita o ponto mais amplo dos pesquisadores: os navegadores evoluíram de simples visualizadores de documentos para ambientes de aplicativos complexos. Essa evolução tem benefícios óbvios. Ela permite ferramentas de produtividade mais ricas e aplicativos web mais capazes. Mas também amplia o número de recursos que podem ser abusados.

O OPFS é um exemplo. Ele oferece aos sites um espaço de armazenamento reservado para suportar funcionalidades avançadas. No uso normal, isso ajuda aplicativos modernos a terem melhor desempenho. Em uso adversarial, sugere o relatório, ele pode fornecer um mecanismo para medir padrões de atividade do SSD a partir de uma página da web usando apenas JavaScript.

É isso que torna o FROST especialmente preocupante do ponto de vista de política e segurança. Ele não exige instalar malware, explorar uma falha de corrupção de memória do navegador ou convencer o usuário a conceder permissões incomuns. Se a técnica for prática em escala, ela transforma uma visita comum a um site em um potencial sensor comportamental.

O que acontece a seguir

Se o FROST se tornará uma ameaça disseminada dependerá de vários fatores, incluindo o nível de ruído das medições em diferentes sistemas, o quanto os fabricantes de navegadores conseguem atenuar o sinal de temporização e se atacantes reais conseguirão converter a técnica em perfilamento ou vigilância confiáveis. O relatório observa que ataques anteriores de contenção de SSD já existiam, mas o FROST é distinto porque roda exclusivamente no navegador.

Essa natureza exclusiva do navegador aumenta a pressão sobre os desenvolvedores de navegadores e os grupos de padronização. As defesas podem envolver alterar padrões de acesso, degradar a precisão das medições, restringir APIs ou, de outro modo, reduzir a capacidade dos sites de observar a contenção de armazenamento com clareza. Cada mitigação traz compromissos, porque algumas das mesmas capacidades também sustentam aplicações web legítimas.

Para os usuários, a lição imediata é desconfortável, mas familiar: o navegador moderno é um dos softwares de consumo mais expostos. Espera-se que ele seja seguro o suficiente para operações bancárias, expressivo o bastante para trabalho profissional e permissivo o suficiente para executar código cada vez mais sofisticado de sites desconhecidos. Essas exigências muitas vezes entram em tensão.

O FROST não significa que qualquer site possa de repente ler os segredos de um usuário. Significa que o modelo de privacidade da web continua vulnerável a vazamentos indiretos que surgem do design do sistema, e não do compartilhamento explícito de dados. Em um cenário em que as técnicas de rastreamento continuam mudando, isso já basta para tornar esta pesquisa relevante.

A implicação mais ampla é simples. À medida que os navegadores absorvem mais funções de computação, proteger a privacidade do usuário exigirá não apenas bloquear o acesso óbvio, mas também antecipar os efeitos colaterais de executar vários aplicativos poderosos sobre hardware compartilhado. O FROST é mais um sinal de que esses efeitos colaterais estão se tornando mais difíceis de ignorar.

Este artigo é baseado na cobertura da Ars Technica. Leia o artigo original.