SSD டைமிங் தாக்குதல், நீங்கள் இன்னும் என்ன செய்கிறீர்கள் என்பதை வலைத்தளங்களுக்கு ஊகிக்க அனுமதிக்கிறது

உலாவியில் உள்ள ஒரு புதிய side channel, வலையின் ஏற்கனவே பெரிதாக உள்ள surveillance toolkit-ஐ மேலும் விரிவாக்குகிறது

ஒரு visitor பார்க்கும் பிற தளங்கள் மற்றும் சாதனத்தில் திறந்துள்ள பயன்பாடுகள் எவை என்பதை, உலாவிக்குள் இருந்து நுண்ணிய solid-state drive activity-ஐ பகுப்பாய்வு செய்வதன் மூலம் வலைத்தளங்கள் ஊகிக்க முடியும் என்பதை ஆராய்ச்சியாளர்கள் காட்டியுள்ளனர். FROST எனப்படும் இந்த முறை, JavaScript மற்றும் browser-இன் origin private file system, அல்லது OPFS, மூலம் storage timing-ஐ அளப்பதன் மூலம் செயல்படுகிறது.

இது பாரம்பரிய அர்த்தத்தில் தரவை திருடுவதால் குறிப்பிடத்தக்கது அல்ல; மாறாக, சாதாரண hardware நடத்தை ஒன்றை privacy leak-ஆக மாற்றுகிறது. வழங்கப்பட்ட அறிக்கையின்படி, ஒரு visitor தீய நோக்கமுள்ள தளத்தைத் திறப்பதைத் தவிர வேறு எதுவும் செய்ய வேண்டியதில்லை. அதன்பின், browser-based code SSD input-output activity-இல் ஏற்படும் contention-ஐ கவனித்து, அந்த அளவீடுகளை வைத்து machine-இல் வேறு என்ன நடக்கிறது என்பதை ஊகிக்க முடியும்.

FROST ஏன் தனித்து நிற்கிறது

வலை கண்காணிப்பு ஏற்கனவே cookies, fingerprinting, session replay, மற்றும் தொடர்ந்து மேலும் சிருஷ்டிகரமான side channels ஆகியவற்றை உள்ளடக்கிய ஒரு முதிர்ந்த arms race ஆக உள்ளது. FROST முக்கியமானது, ஏனெனில் sandboxing விதிகளால் பிற apps அல்லது tabs-க்கு நேரடி அணுகல் தடுக்கப்பட்டிருந்தாலும், browser-இன் விரிவாகும் திறன்கள் புதிய கண்காணிப்பு மேற்பரப்புகளை எவ்வாறு உருவாக்க முடியும் என்பதை இது காட்டுகிறது.

இந்த தாக்குதல் contention side channel என விவரிக்கப்படுகிறது. எளிமையாகச் சொன்னால், பல செயலிகள் ஒரு பகிரப்பட்ட வளத்திற்காக, இங்கே SSD I/O, எவ்வாறு போட்டியிடுகின்றன என்பதை அது கவனித்து, சில operations முடிவடைய எவ்வளவு நேரம் எடுக்கின்றன என்பதிலிருந்து clues-ஐ உருவாக்குகிறது. பிற தாவல்களில், hatta வேறு browsers-இலும், திறந்துள்ள websites-ஐத் தாம் கண்டறிய முடிந்ததாகவும், சாதனத்தில் இயங்கும் applications-ஐயும் அடையாளம் காண முடிந்ததாகவும் ஆராய்ச்சியாளர்கள் கூறியுள்ளனர்.

அனுமதி உரையாடல்கள் மற்றும் same-origin policies மட்டுமே privacy boundaries-ஐ நிர்ணயிக்கவில்லை என்பதற்கான வலுவான நினைவூட்டல் இது. அவை timing, cache behavior, மற்றும் shared hardware bottlenecks போன்ற மறைமுக physical signals-ஆலும் வடிவமைக்கப்படுகின்றன. browsers அலுவலகத் தொகுப்புகள், editors, மற்றும் development tools-க்கான platforms ஆக மாறும் நிலையில், இந்த மறைமுக leaks-ன் விளைவுகள் மேலும் பெரிதாகலாம்.

இப்போது browser இன்னும் பெரிய attack surface

வழங்கப்பட்ட அறிக்கை ஆராய்ச்சியாளர்களின் பரந்த கருத்தை மேற்கோள்கிறது: web browsers எளிய document viewers-இலிருந்து சிக்கலான application environments-ஆக வளர்ந்துள்ளன. இந்த வளர்ச்சிக்கு வெளிப்படையான பலன்கள் உள்ளன. இது மேலும் செறிவான productivity tools-ஐயும் திறனுள்ள web apps-ஐயும் இயலுமைப்படுத்துகிறது. ஆனால் இதே நேரத்தில், தவறாகப் பயன்படுத்தக்கூடிய features-இன் எண்ணிக்கையும் அதிகரிக்கிறது.

OPFS ஒரு உதாரணம். இது advanced functionality-க்கு ஆதரவாக sites-க்கு ஒதுக்கப்பட்ட storage space-ஐ வழங்குகிறது. சாதாரண பயன்பாட்டில், இது நவீன applications சிறப்பாக செயல்பட உதவுகிறது. எதிர்மறை பயன்பாட்டில், ஒரு webpage-இல் இருந்து JavaScript மட்டும் கொண்டு SSD activity patterns-ஐ அளவிடும் ஒரு mechanism-ஐ அது வழங்க முடியும் என அறிக்கை சுட்டிக்காட்டுகிறது.

policy மற்றும் security கோணத்தில் FROST ஏன் குறிப்பாக கவலையளிக்கிறது என்பதையும் இது விளக்குகிறது. இதற்கு malware-ஐ நிறுவவும், browser memory corruption bug-ஐ exploit செய்யவும், அல்லது பயனரை அசாதாரண permissions வழங்கச் சம்மதிக்க வைக்கவும் தேவையில்லை. இந்த technique அளவில் நடைமுறைசாலியாக இருந்தால், ஒரு சாதாரண website visit-ஐ ஒரு potential behavioral sensor-ஆக மாற்றுகிறது.

அடுத்தது என்ன

FROST பரவலான threat-ஆக மாறுமா என்பது பல காரணிகளின் மீது சார்ந்திருக்கும்; இதில் வெவ்வேறு systems-இல் measurements எவ்வளவு noisy-ஆக உள்ளன, browser vendors timing signal-ஐ எவ்வளவு திறம்படக் குறைக்க முடியும், மற்றும் உண்மை attackers இந்த technique-ஐ நம்பகமான profiling அல்லது surveillance-ஆக மாற்ற முடியுமா என்பதும் அடங்கும். முன்னர் SSD contention attacks இருந்தன, ஆனால் FROST browser-இல் மட்டும் இயங்குவதால் வேறுபடுகிறது என அறிக்கை குறிப்படுகிறது.

இந்த browser-only தன்மை browser makers மற்றும் standards groups மீது அழுத்தத்தை அதிகரிக்கிறது. பாதுகாப்பு நடவடிக்கைகளில் access patterns-ஐ மாற்றுவது, measurement precision-ஐக் குறைப்பது, APIs-ஐ கட்டுப்படுத்துவது, அல்லது sites storage contention-ஐ தெளிவாகக் காணும் திறனைக் குறைப்பது ஆகியவை அடங்கலாம். ஒவ்வொரு mitigation-க்கும் tradeoff உள்ளது, ஏனெனில் அதே capabilities-இன் சில பகுதிகள் சட்டபூர்வமான web applications-ஐயும் ஆதரிக்கின்றன.

பயனர்களுக்கான உடனடியான பாடம் சிரமமானதாயினும் பரிச்சயமானது: நவீன browser என்பது consumer software-இல் மிகவும் வெளிப்பட்ட பகுதிகளில் ஒன்று. அது வங்கி பயன்பாட்டிற்கு போதுமான பாதுகாப்புடையதாகவும், தொழில்முறை வேலைக்குப் போதுமான expressive-ஆகவும், unknown websites-இல் இருந்து வரும் increasingly sophisticated code-ஐ இயக்கத் தேவையான அளவு permissive-ஆகவும் இருக்க வேண்டும் என்று எதிர்பார்க்கப்படுகிறது. இம்மானங்கள் பெரும்பாலும் ஒன்றுக்கொன்று முரண்படுகின்றன.

FROST என்பது ஒவ்வொரு site-மும் திடீரென பயனரின் secrets-ஐப் படிக்க முடியும் என்பதல்ல. அது web privacy model இன்னும் indirect leaks-க்கு vulnerable-ஆக இருப்பதை, explicit data sharing-இன் காரணமாக அல்ல, system design-இன் விளைவாக, குறிக்கிறது. tracking techniques தொடர்ந்து மாறிக் கொண்டிருக்கும் சூழலில், அதுவே இந்த ஆராய்ச்சியை முக்கியமாக்குகிறது.

பரந்த விளைவு நேரடியானது. browsers மேலும் computing functions-ஐ உறிஞ்சிக் கொள்கின்றன; user privacy-ஐப் பாதுகாப்பதற்கு obvious access-ஐத் தடுக்குவது மட்டும் போதாது, shared hardware-இல் பல powerful applications-ஐ இயக்குவதால் ஏற்படும் side effects-ஐ முன்கூட்டியே கணிக்கவும் வேண்டும். அந்த side effects-ஐ புறக்கணிப்பது increasingly difficult ஆகி வருகிறதென FROST மற்றொரு அறிகுறி.

இந்தக் கட்டுரை Ars Technica செய்திப்படுத்தலை அடிப்படையாகக் கொண்டது. மூலக் கட்டுரையைப் படிக்கவும்.