SSD时序攻击扩大网络追踪

一种新的浏览器侧信道，进一步扩大了网络监控工具箱

研究人员展示了一种技术，网站可以通过分析浏览器中的细微SSD活动，推断访客正在查看的其他网站以及设备上打开的应用。该方法名为FROST，通过JavaScript和浏览器的origin private file system，也就是OPFS，来测量存储时序。

这一结果之所以引人注意，不是因为它以传统意义上的方式窃取数据，而是因为它把普通硬件行为变成了隐私泄露。据所提供的报道，访客只需打开恶意网站即可。随后，基于浏览器的代码便能观察SSD输入输出活动中的争用，并利用这些测量结果推断设备上正在发生的其他事情。

网络追踪早已是一场成熟的军备竞赛，涉及Cookie、指纹识别、会话回放，以及越来越有创意的侧信道。FROST之所以重要，是因为它表明，即使其他应用或标签页的直接访问被沙箱规则阻止，浏览器不断扩展的能力仍然会创造新的监控面。

这种攻击被描述为争用型侧信道。通俗地说，它观察多个进程如何竞争共享资源，这里是SSD的I/O，并从某些操作完成所需的时间中提取线索。研究人员据称已证明，他们可以判断其他标签页中打开的网站，甚至其他浏览器中的网站，以及设备上正在运行的应用。

这强烈提醒人们，隐私边界并不仅由权限对话框和同源策略决定。它们同样受到间接物理信号的影响，例如时序、缓存行为和共享硬件瓶颈。随着浏览器越来越像办公套件、编辑器和开发工具的平台，这些间接泄露的后果可能会不断加重。

所提供的报道引用了研究人员的更广泛观点：浏览器已经从简单的文档查看器演变为复杂的应用环境。这种演变显然有好处，它能支持更丰富的生产力工具和更强大的网页应用。但它也扩大了可被滥用的功能数量。

OPFS就是一个例子。它为网站提供保留存储空间，以支持高级功能。在正常使用中，这有助于现代应用更好地运行。而在对抗性使用中，报道称，它可以成为一种机制，仅用JavaScript就能从网页内部测量SSD活动模式。

这也是FROST在政策和安全层面尤其令人担忧的原因。它不需要安装恶意软件，不需要利用浏览器内存破坏漏洞，也不需要诱导用户授予异常权限。如果这项技术可以大规模实用，那么一次普通的网站访问就可能变成潜在的行为传感器。

FROST是否会成为广泛威胁，取决于多个因素，包括不同系统上的测量噪声有多大、浏览器厂商能在多大程度上削弱这种时序信号，以及现实中的攻击者能否把这项技术转化为可靠的画像或监控。报道指出，以前就存在SSD争用攻击，但FROST不同，因为它完全在浏览器内运行。

这种仅限浏览器的特性，加大了浏览器厂商和标准组织的压力。防御措施可能包括改变访问模式、降低测量精度、限制API，或者以其他方式削弱网站清晰观察存储争用的能力。每一种缓解措施都有权衡，因为同样的能力也支持合法的网页应用。

对用户来说，直接的教训令人不适，但也很熟悉：现代浏览器是消费级软件中暴露面最大的部分之一。它被要求既要足够安全以处理银行业务，又要足够有表现力以支持专业工作，还要足够开放以运行来自未知网站、越来越复杂的代码。这些要求往往彼此冲突。

FROST并不意味着任何网站都能突然读取用户的秘密。它的含义是，网络隐私模型仍然容易受到系统设计而非显式数据共享带来的间接泄露影响。在追踪技术不断变异的环境中，这已经足以让这项研究变得重要。

更广泛的含义很直接。随着浏览器吸收越来越多的计算功能，保护用户隐私不仅要阻止明显访问，还要预判在共享硬件上运行多个强大应用所带来的副作用。FROST再次表明，这些副作用正变得越来越难以忽视。

本文基于Ars Technica的报道。阅读原文。

Originally published on arstechnica.com