🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um site malicioso pode descobrir quais sites você visita e quais aplicativos você abre, usando apenas JavaScript e o tempo do seu SSD. O ataque, chamado FROST, não precisa de código nativo, extensão e prompt de permissão.
Você abre a página, deixa a guia ali e ela observa a unidade em busca de contenção em segundo plano.
Pesquisadores da Universidade de Tecnologia de Graz o construíram e o descreveram em um novo artigo que será publicado no DIMVA 2026. Ele abusa de um recurso de armazenamento presente em todos os principais navegadores de desktop, e o canal de temporização subjacente funciona tanto no macOS quanto no Linux.
Os ataques de temporização de SSD não são novos. No ano passado, o mesmo grupo publicou Secret Spilling Drive, que lê o comportamento do usuário em uma unidade, observando como a leitura fica mais lenta quando outra coisa a está usando. O problema era que ele precisava de código nativo na máquina, por meio de uma interface de baixo nível como a io_uring do Linux. FROST elimina esse requisito. Ele é executado dentro da sandbox do navegador, o que transforma um ataque local em remoto.
Você não precisa mais estar na máquina para retirá-lo.
O mesmo laboratório de Graz já fez isso antes. Seu ataque SnailLoad inferiu os sites e vídeos carregados pela vítima apenas pela latência da rede, sem nenhum JavaScript.
Como funciona o ataque FROST
A entrada é o Origin Private File System, ou OPFS, um recurso de armazenamento adicionado aos navegadores em 2023 para que aplicativos da web, como editores no navegador e IDEs, possam manter arquivos no disco. O OPFS dá a cada origem sua própria fatia em área restrita do sistema de arquivos e, como essa fatia está isolada, ele ignora o prompt de permissão que uma página normalmente precisa para acessar seus arquivos. Sem diálogo, sem clique. Um site pode simplesmente começar a escrever.
Normalmente, o sistema operacional oculta o tempo do disco atrás do cache da página, servindo leituras repetidas da memória para que nunca toquem na unidade.
O FROST contorna isso criando um arquivo maior que a RAM da máquina. O cache não pode conter tudo, então as leituras continuam chegando ao SSD. No Chrome e no Safari, o OPFS pode crescer até 60% do espaço em disco, muito mais do que suficiente; O Firefox limita cada origem a um valor menor, embora um invasor possa distribuir a carga por várias origens para superar isso.
O código do invasor então lê pedaços aleatórios de 4 KB desse arquivo em um loop e cronometra cada leitura com performance.now(). Os navegadores diminuem seus temporizadores por padrão para dificultar esse tipo de medição, mas o invasor aumenta a resolução ativando o isolamento de origem cruzada, o que pode ser feito livremente em sua própria página.
Quando você abre um site ou inicia um aplicativo na mesma unidade, essa atividade compete com as leituras do invasor e o tempo muda de forma mensurável. Uma rede neural treinada nesses rastreamentos identifica o site ou aplicativo.
A precisão é a parte desconfortável. Num Mac, comparando com os 50 principais websites, o FROST identificou o site visitado com uma pontuação F1 de 88,95% num teste de mundo fechado, e manteve-se em 86,95% num teste de mundo aberto que adicionou 300 sites que nunca tinha visto. Para dez aplicativos macOS nativos pré-instalados, atingiu 95,83%. A equipe também construiu um canal secreto no mesmo sinal, movendo dados de um aplicativo nativo cooperante para a página maliciosa a 661,63 bits/s no Linux e 719,27 bits/s no macOS por meio de OPFS. O ataque nativo foi mais rápido na melhor das hipóteses, mas são muitos dados para código preso dentro de uma sandbox do navegador.
Embora o canal de temporização também funcione no Linux, a equipe executou o classificador completo apenas no macOS, portanto, esses números de impressões digitais são um resultado do macOS. O FROST também capta atividades apenas no mesmo disco que seu arquivo OPFS.
Um laptop de unidade única coloca tudo nesse disco; uma estação de trabalho com várias unidades oculta tudo o que é executado em uma unidade separada, embora as inicializações de aplicativos que tocam o diretório inicial tendam a vazar de qualquer maneira.
O que você pode fazer
Não muito, por enquanto. Google, Mozilla e Apple foram informados antes da publicação. A equipe Chromium do Google não trata as impressões digitais como uma vulnerabilidade de segurança. A Apple considerou isso fora do escopo, mas deixou espaço para uma mitigação posterior. A Mozilla reconheceu isso e não enviou nada. Não há CVE e nenhuma evidência pública de que a técnica tenha sido usada na natureza.
Isso deixa as defesas fracas. A medição só é executada enquanto a página do invasor está aberta, portanto, fechar a guia encerra essa execução. Observar o armazenamento do seu navegador em busca de um arquivo inexplicável de vários gigabytes é outra indicação, embora os navegadores não tornem o uso do OPFS fácil de ver.
No Linux, os sistemas que executam o profile-sync-daemon, um utilitário que mantém o perfil do navegador na RAM, são incidentalmente protegidos contra a versão de clique zero, porque as gravações do OPFS nunca chegam ao SSD. A variante mais fraca, onde uma página usa uma caixa de diálogo de seleção de arquivos para que você mesmo selecione um arquivo grande, ainda funciona.
As correções que realmente o fechariam cabem aos fabricantes do navegador: limitar o tamanho do OPFS para que o arquivo caiba na memória e não gere contenção, limitando os temporizadores de alta resolução enquanto o OPFS está em
Você abre a página, deixa a guia ali e ela observa a unidade em busca de contenção em segundo plano.
Pesquisadores da Universidade de Tecnologia de Graz o construíram e o descreveram em um novo artigo que será publicado no DIMVA 2026. Ele abusa de um recurso de armazenamento presente em todos os principais navegadores de desktop, e o canal de temporização subjacente funciona tanto no macOS quanto no Linux.
Os ataques de temporização de SSD não são novos. No ano passado, o mesmo grupo publicou Secret Spilling Drive, que lê o comportamento do usuário em uma unidade, observando como a leitura fica mais lenta quando outra coisa a está usando. O problema era que ele precisava de código nativo na máquina, por meio de uma interface de baixo nível como a io_uring do Linux. FROST elimina esse requisito. Ele é executado dentro da sandbox do navegador, o que transforma um ataque local em remoto.
Você não precisa mais estar na máquina para retirá-lo.
O mesmo laboratório de Graz já fez isso antes. Seu ataque SnailLoad inferiu os sites e vídeos carregados pela vítima apenas pela latência da rede, sem nenhum JavaScript.
Como funciona o ataque FROST
A entrada é o Origin Private File System, ou OPFS, um recurso de armazenamento adicionado aos navegadores em 2023 para que aplicativos da web, como editores no navegador e IDEs, possam manter arquivos no disco. O OPFS dá a cada origem sua própria fatia em área restrita do sistema de arquivos e, como essa fatia está isolada, ele ignora o prompt de permissão que uma página normalmente precisa para acessar seus arquivos. Sem diálogo, sem clique. Um site pode simplesmente começar a escrever.
Normalmente, o sistema operacional oculta o tempo do disco atrás do cache da página, servindo leituras repetidas da memória para que nunca toquem na unidade.
O FROST contorna isso criando um arquivo maior que a RAM da máquina. O cache não pode conter tudo, então as leituras continuam chegando ao SSD. No Chrome e no Safari, o OPFS pode crescer até 60% do espaço em disco, muito mais do que suficiente; O Firefox limita cada origem a um valor menor, embora um invasor possa distribuir a carga por várias origens para superar isso.
O código do invasor então lê pedaços aleatórios de 4 KB desse arquivo em um loop e cronometra cada leitura com performance.now(). Os navegadores diminuem seus temporizadores por padrão para dificultar esse tipo de medição, mas o invasor aumenta a resolução ativando o isolamento de origem cruzada, o que pode ser feito livremente em sua própria página.
Quando você abre um site ou inicia um aplicativo na mesma unidade, essa atividade compete com as leituras do invasor e o tempo muda de forma mensurável. Uma rede neural treinada nesses rastreamentos identifica o site ou aplicativo.
A precisão é a parte desconfortável. Num Mac, comparando com os 50 principais websites, o FROST identificou o site visitado com uma pontuação F1 de 88,95% num teste de mundo fechado, e manteve-se em 86,95% num teste de mundo aberto que adicionou 300 sites que nunca tinha visto. Para dez aplicativos macOS nativos pré-instalados, atingiu 95,83%. A equipe também construiu um canal secreto no mesmo sinal, movendo dados de um aplicativo nativo cooperante para a página maliciosa a 661,63 bits/s no Linux e 719,27 bits/s no macOS por meio de OPFS. O ataque nativo foi mais rápido na melhor das hipóteses, mas são muitos dados para código preso dentro de uma sandbox do navegador.
Embora o canal de temporização também funcione no Linux, a equipe executou o classificador completo apenas no macOS, portanto, esses números de impressões digitais são um resultado do macOS. O FROST também capta atividades apenas no mesmo disco que seu arquivo OPFS.
Um laptop de unidade única coloca tudo nesse disco; uma estação de trabalho com várias unidades oculta tudo o que é executado em uma unidade separada, embora as inicializações de aplicativos que tocam o diretório inicial tendam a vazar de qualquer maneira.
O que você pode fazer
Não muito, por enquanto. Google, Mozilla e Apple foram informados antes da publicação. A equipe Chromium do Google não trata as impressões digitais como uma vulnerabilidade de segurança. A Apple considerou isso fora do escopo, mas deixou espaço para uma mitigação posterior. A Mozilla reconheceu isso e não enviou nada. Não há CVE e nenhuma evidência pública de que a técnica tenha sido usada na natureza.
Isso deixa as defesas fracas. A medição só é executada enquanto a página do invasor está aberta, portanto, fechar a guia encerra essa execução. Observar o armazenamento do seu navegador em busca de um arquivo inexplicável de vários gigabytes é outra indicação, embora os navegadores não tornem o uso do OPFS fácil de ver.
No Linux, os sistemas que executam o profile-sync-daemon, um utilitário que mantém o perfil do navegador na RAM, são incidentalmente protegidos contra a versão de clique zero, porque as gravações do OPFS nunca chegam ao SSD. A variante mais fraca, onde uma página usa uma caixa de diálogo de seleção de arquivos para que você mesmo selecione um arquivo grande, ainda funciona.
As correções que realmente o fechariam cabem aos fabricantes do navegador: limitar o tamanho do OPFS para que o arquivo caiba na memória e não gere contenção, limitando os temporizadores de alta resolução enquanto o OPFS está em
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #novo #ataque #frost #permite #que #sites #rastreiem #quais #sites #e #aplicativos #você #abre #por #meio #do #ssd #timing
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário