奥地利一支研究团队近日披露了一种全新的浏览器侧信道攻击方式,只需借助网页内运行的代码和设备存储硬件的微弱信号,就可能对用户的上网行为进行“窥探”,而无需依赖传统的cookies、点击追踪脚本或常见的指纹识别技术。这种方法利用的是固态硬盘(SSD)在处理数据请求时的时间特性。
~fw 6�s�Y# 
�-c�s
�4<� 这一技术被命名为FROST,全称为“基于OPFS的SSD计时远程指纹识别”(fingerprinting remotely using OPFS-based SSD timing)。其核心思想是:不同进程争夺存储访问权限的过程中,会在读写延迟上留下细微但可观测的差异,研究人员通过监测这些延迟变化,从而推断出设备上还有哪些网站或应用正在运行。
kB��1]�_v/ UfjLNe}wA� 从技术类别看,FROST属于典型的侧信道攻击,即并非直接读取敏感数据,而是通过系统行为的“旁路信号”推断信息。在本案例中,“旁路信号”就是SSD的访问延迟:当多个程序同时进行读写操作时,SSD的响应时间会随之变化,而这些变化竟然可以在浏览器内部被捕捉和分析。
Jbp�K�stc; �2A|^6#XN' FROST的特殊之处在于,它完全在浏览器环境中运行,不需要本地安装额外软件。攻击者仅通过JavaScript与“源私有文件系统”(Origin Private File System,简称OPFS)交互——OPFS原本是为了给网站提供隔离的本地存储空间而设计的,但虽然在软件层面做了沙箱隔离,底层硬件仍然是共享的,这正是信息泄露发生的关键所在。
�On��b*n�m �{dvrj�<? 在实际操作中,攻击脚本会先在OPFS中创建一个体积很大的文件,然后不断对该文件执行随机读取,并对每一次读操作的耗时进行精确记录。如果此时系统中其他应用或浏览器标签页正在频繁访问同一块SSD,这些读操作的延迟就会出现可测量的波动,长期累积的数据会形成具有辨识度的时间序列模式。
n4\6\0�jq6 "�
]
�0�ER 研究人员在论文中表示,攻击者可以通过持续测量SSD争用情况来获取这些延迟轨迹,然后利用卷积神经网络对其进行训练和分类。一旦模型训练完成,便能够根据新的延迟轨迹“指纹化”用户活动,即判断主机系统上正在发生的行为,例如是否打开了某个特定网站或运行了某类应用程序。
P`6
T;|VDk �{`QF(�W�L 值得注意的是,研究团队发现这一方法在不同浏览器之间同样有效,这表明可利用的信号更多来自于底层系统行为,而非某个特定浏览器的实现差异。这也凸显出一个更广泛的趋势:随着浏览器逐渐演变为可运行复杂应用的平台,它们与底层系统资源的交互日益频繁,意外的数据暴露面随之增加。
c:���I1XC b9ysxuUd�S 研究人员指出,如今的浏览器早已从“文档查看工具”升级为复杂的平台,能够承载由Google、微软、Adobe等公司提供的完整办公套件、图像和视频编辑器,甚至集成开发环境(IDE),且全部在浏览器内运行。这些增强功能固然扩展了Web应用的能力,催生了全新使用场景,但同时也显著扩大了浏览器的攻击面,部分功能已被证实会引入新的安全漏洞。
�6-va;G9Fc �S!.aB�AW 就现实可行性而言,FROST当前仍存在一定限制。例如,攻击需要在OPFS中生成至少1GB级别的大文件,这可能会引起用户注意或触发存储空间提醒;同时,该方法依赖被监控活动与攻击脚本运行在同一块物理SSD上,如果目标应用位于另一块硬盘上,信号可能微弱到难以检测。
aG�Vzg�$�
�dVc;T���t 在实验平台方面,研究团队展示了在一台搭载Apple M2芯片的系统上的完整攻击流程,并在Linux环境下验证了核心机制,发现类似的行为同样存在。论文合著者Hannes Weissteiner表示,这一底层技术在macOS和Linux上表现相近,因此完整的分类方法在这两个系统上的效果预计也将类似;理论上,只要某类系统活动会稳定地产生特定的SSD访问模式,模型就可以被训练来识别它,不过团队尚未在Windows系统上进行测试。
oc'���#sE EquNg�@25W 目前尚无证据表明这一技术已在研究环境之外被恶意利用,但它进一步印证,浏览器内运行的代码能够比传统认知更深入地“感知”系统行为。研究人员建议,浏览器厂商可以通过对OPFS施加更严格的限制来降低风险,例如设置文件大小上限,或监控异常的存储访问模式,以及时阻断可疑行为。
yq+<pfaqvK G��ir_.yc/ 据介绍,相关研究成果预计将在7月举行的DIMVA会议上正式发表。随着更多类似研究的推进,如何在保证Web应用丰富功能的同时控制底层侧信道风险,很可能成为浏览器安全领域的一个长期议题。
�WS9n.opl}
微博帐号登录