4 min de lectura

Ataque en el navegador lee la actividad del SSD para detectar sitios y aplicaciones abiert

Un nuevo ataque basado en el navegador llamado FROST puede identificar qué sitios web y aplicaciones están abiertos en el ordenador de una víctima observando patrones de temporización del SSD, y no ne

Imagen: ixbt.com

Un nuevo ataque basado en el navegador llamado FROST puede identificar qué sitios web y aplicaciones están abiertos en el ordenador de una víctima observando patrones de temporización del SSD, y no necesita malware, extensiones ni solicitudes de permiso. El truco es que la propia página hace el espionaje: con solo abrir un sitio malicioso puede ser suficiente.

El ataque en el navegador proviene de investigadores de la Graz University of Technology en Austria y se basa en JavaScript corriente junto con el Origin Private File System, una función de almacenamiento del navegador pensada para aplicaciones web legítimas. En lugar de entrar en la máquina, el ataque crea un archivo enorme en el SSD, mide diminutos retrasos de acceso y alimenta esas huellas en una red neuronal que intenta asociarlas con sitios y programas específicos. Limpio en teoría, inquietante en la práctica.

Cómo FROST lee las señales de temporización del SSD

FROST funciona convirtiendo la actividad de almacenamiento en un canal lateral. Cuando el navegador escribe y lee a través de OPFS, la página puede observar micro-latencias provocadas por lo que sea que esté tocando la misma unidad, y luego deducir qué software está activo a partir del patrón resultante. Los investigadores dicen que el ataque incluso puede cruzar los límites entre navegadores, por lo que la página espía podría ejecutarse en Chrome mientras la actividad objetivo ocurre en Safari.

Recomendado

Signal prueba usar teléfonos Android como dispositivos vinculados

Esa es la parte que convierte esto en algo más que una curiosidad de laboratorio. Los equipos de seguridad de los navegadores han pasado años cerrando vías de ataque obvias, pero los canales laterales siguen filtrándose por las grietas porque nada se “hackea” técnicamente en el sentido clásico. La máquina simplemente se delata a sí misma.

Precisión de FROST en un Mac Mini y el problema de la huella de almacenamiento

En pruebas en un Mac Mini con un chip M2, el sistema identificó sitios web abiertos con aproximadamente un 89% de precisión y aplicaciones con alrededor de un 96% de precisión. Son cifras sólidas para un ataque pasivo desde el navegador, aunque el método no es precisamente discreto: OPFS puede reservar enormes cantidades de espacio, y los investigadores dicen que Chrome y Safari permiten a los sitios reservar hasta el 60% de la capacidad del SSD. En una unidad de 256 GB, eso puede significar 150 GB ocupados.

  • Sitios abiertos detectados con aproximadamente un 89% de precisión
  • Aplicaciones abiertas detectadas con aproximadamente un 96% de precisión
  • Funciona a través de una página normal del navegador, no de software instalado
  • Necesita que la actividad objetivo y los datos de OPFS residan en el mismo SSD físico

Esa última limitación importa. El ataque resulta menos convincente en estaciones de trabajo con múltiples unidades, donde la disposición del almacenamiento puede romper la señal que necesita. En otras palabras, FROST parece más peligroso en el tipo de portátil de consumo donde la gente es menos propensa a notar una pestaña del navegador misteriosa y más propensa a ignorar una advertencia de almacenamiento.

Google, Apple y Mozilla no se han apresurado a solucionarlo

Los investigadores notificaron el problema a Google, Apple y Mozilla, pero ninguno parece dispuesto a calificarlo como una emergencia. Según se informa, Google no trata la técnica como una vulnerabilidad de seguridad completa, Apple la describió como fuera de su responsabilidad y Mozilla aún está revisando el informe. Esa respuesta resulta familiar: si el ataque no parece un exploit claro, los fabricantes de navegadores tienden a etiquetarlo como “interesante” y seguir adelante.

Las defensas obvias son igualmente familiares. Limitar el tamaño de los archivos OPFS para que quepan en memoria, o requerir permiso antes de que un sitio pueda crear ese tipo de almacenamiento. Ambas medidas dificultarían la vida a los atacantes y serían algo más molestas para las aplicaciones web, que suele ser la dinámica del progreso en seguridad de navegadores.

La pregunta más grande es cuánto tiempo seguirá funcionando esta clase de ataque en el navegador antes de que los navegadores restrinjan por defecto las APIs de almacenamiento. Si el pasado sirve de guía, la respuesta es «suficiente tiempo para que alguien más lo redescubra con otro artilugio».

Tomas Berg

Computing Editor

Tomas lives in the terminal. He covers chips, laptops, and operating systems with a focus on performance and efficiency. He reads kernel changelogs the way other people read fiction, and he's always on the hunt for the perfect mechanical keyboard switch. If it processes data, Tomas has an opinion on it.

vía ixbt.com

// Sigue leyendo