Bösartige Webseiten nutzen SSD-Zeitmessungen, um Besucher zu verfolgen

Stattdessen überwacht er, wie lange SSD-Lesevorgänge dauern, während das Opfer Computer arbeitet, und sucht nach Mustern, die Website-Besuchen oder App-Starts entsprechen. Bösartige Webseiten verfolgen dabei SSD-Zeitwerte.

Beim Angriff misst eine schädliche Webseite kontinuierlich die Speicherverzögerung, während das Opfer normal surft oder andere Anwendungen nutzt. Die Technik ist besonders besorgniserregend, da sie vollständig innerhalb des Browser-Sandbox-Umfelds operiert.

Die Forscher stellten fest, dass OPFS genutzt werden kann, um große Dateien auf der Festplatte zu erstellen, die groß genug sind, um echte SSD-Lesevorgänge statt Lesevorgänge aus dem Speichercache auszulösen. Dies ermöglicht dem Angreifer, Zeitverlaufsdaten mit ausreichender Detailtiefe zu sammeln, um die Aktivitäten der Nutzer zu klassifizieren.

Sicherheitslage und Risiko

Die Studie beschreibt einen browserbasierten Angriff namens FROST, der für „Fingerprinting Remotely using OPFS-based SSD Timing" steht. Auf macOS berichteten die Forscher, dass der Angriff in einem geschlossenen Test die besuchten Websites mit einer F1-Score von 88,95 vorhersagen konnte und in einem offenen Test einen F1-Score von 86,95 erzielte.

Zudem erreichten sie einen F1-Score von 95,83 für die Anwendungserkennung. Die gleiche Arbeit realisierte zudem einen verdeckten Kanal – also einen versteckten Pfad für die Datenübertragung – zwischen einer nativen Anwendung und einer bösartigen Website.

Auf Linux erreichte dieser Kanal eine wahre Kapazität von 661,63 Bits, während er auf macOS in einer Konfiguration 891,77 Bits erreichte. Dies zeigt, dass der Zeitleak nicht nur theoretisch ist, sondern nutzbare Informationen übertragen kann. Dieser Angriff ist gefährlich, da er nicht, einer Malware-Installation oder einer klassischen Exploit-Kette abhängt.

Sicherheitslage und Risiko

Der Nutzer muss lediglich eine vom Angreifer kontrollierte Website besuchen. Im OPFS-Szenario ist keine zusätzliche Berechtigungsanfrage erforderlich. Dies macht den Ansatz praxisnäher als ältere SSD-Konkurrenzangriffe, die nativen Code oder direkte Benutzerinteraktion erforderten. Die Auswirkungen gehen über die Website-Verfolgung hinaus.

Die Forschung zeigte zudem, dass die Anwendungsnutzung gefingert werden kann, was bedeutet, dass Angreifer ableiten können, ob jemand Tools wie Safari, Systemeinstellungen oder andere native Apps geöffnet hat. Für die Privatsphäre stellt dies ein ernstes Problem dar, da Verhaltensweisen offenlegt, die ein Benutzer nicht erwartet hätte, werden.

Nach Angaben des Forschers sollten der Einsatz großer OPFS-Speicherbeschränkt, der Zugriff auf hochauflösende Timer reduziert und der Dateisystemzugriff des Browsers stärker auf eine berechtigungsbasierte Steuerung hin entwickelt werden.

Sicherheitslage und Risiko

Zudem weisen die Forscher darauf hin, dass Browserhersteller Benutzer warnen könnten, wenn viele Ursprünge schnell große Mengen an OPFS-Speicher verbrauchen. In der Praxis würden strengere Browserbeschränkungen und weniger präzise Zeitquellen diesen Angriffsstil erschweren.

Derzeit lautet die zentrale Erkenntnis einfach: Selbst gewöhnliche Web-Funktionen können leistungsfähige Seitenkanäle erzeugen. Die Timing-Analyse ächst abstrakt klingen, doch diese Forschung zeigt, dass sie genutzt werden kann, Personen still und aus der Ferne über den Browser zu verfolgen. Abi ist Sicherheitsredakteurin und Mitautorin bei