北京
一群安全研究员发现,恶意网站不需要植入木马、不需要诱导你安装任何东西,只需要安静地测量固态硬盘的响应时间,就能拼凑出你刚刚访问了哪些网站、打开了哪些应用。
这项技术完全不依赖传统的漏洞利用链条。它借助浏览器内置的文件系统接口,在沙箱内部制造磁盘读写压力,然后通过观测读取延迟的微小波动,推断出用户正在执行的操作。论文将这种攻击命名为“FROST”——通过原源私有文件系统进行远程固态硬盘时序指纹识别。
攻击者控制的网页会持续向固态硬盘写入大文件,大到现在多数内存缓存都无法容纳,迫使系统一次次真正从盘片读取数据。与此同时,脚本反复测量这些读取操作所耗费的时间。当用户在另一个标签页里打开某款应用,或者在地址栏跳转到某个已知站点时,磁盘请求的排队顺序就会发生可被检测的变化,进而影响攻击者观测到的延迟曲线。
论文披露了两组关键测试数据。在macOS环境下,封闭世界测试中识别受访网站的法得分达到88.95分,开放世界测试也拿到86.95分。针对应用程序指纹的识别能力更强,法得分冲到了95.83分。这意味着攻击者不仅能大致猜到用户的浏览轨迹,还能相当准确地标记出用户启动的是Safari、系统设置,还是其他原生工具。
更令人不安的是这套方法搭建隐蔽信道的能力。研究团队在macOS上一轮测试中测得的真实信道容量达到891.77比特,在Linux上也有661.63比特。这个数字说明,时序泄露绝不只是理论上的隐患,攻击者完全可以在用户毫无察觉的情况下,把窃取到的信息编码打包,悄悄传回自己的服务器。整个过程不需要弹出任何权限请求弹窗,用户只是打开了一个网页而已。
过去类似的固态硬盘争夺攻击需要借助原生代码或者用户的主动交互,而FROST把攻击面收缩到了浏览器沙箱内部。浏览器赋予原源私有文件系统的存储配额,恰恰为攻击者提供了足量的磁盘活动,使得时序测量足够精细。安全研究员对此给出的建议包括:压缩单个源所能占用的文件系统上限、削弱高分辨率计时器的精度,以及让浏览器在检测到某个源短时间内大量消耗存储空间时,主动向用户发出提示。从工程角度看,只要浏览器厂商收紧这些接口的开放程度,攻击者就很难复现今天这么清晰的延迟曲线。固态硬盘的响应速度或许听起来是个枯燥的硬件指标,但这次的工作提醒整个行业,任何能被网页脚本观测到的物理资源波动,最终都可能变成用户行为的一面镜子。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
