Websites kunnen zien welke apps en sites gebruikers openen via ssd-activiteit

In dit artikel:

Oostenrijkse onderzoekers hebben een nieuwe methode gepresenteerd waarmee websites via de activiteit van een ssd kunnen achterhalen welke websites iemand bezoekt en welke apps op die schijf worden geopend. De techniek heet Frost (Fingerprinting Remotely using OPFS-based SSD Timing) en bouwt voort op eerder onderzoek naar informatielekken in ssd-access-tijden.

De onderzoekers benutten de Origin Private File System (OPFS), een JavaScript‑api waarmee een webpagina bestanden kan lezen en schrijven in een sandbox per tabblad zonder expliciete gebruikers‑toestemming. Door het werkgeheugen van de pc op te vullen dwingt Frost het systeem de ssd intensiever te gebruiken; de timingpatronen van de schijf verschillen per website of app en zijn zo via OPFS uit te lezen. Met een getraind neuraal netwerk koppelden de onderzoekers die timingpatronen aan specifieke sites en apps: ze melden een herkenningsnauwkeurigheid van ongeveer 89% voor websites en bijna 96% voor apps.

Voor misbruik hoeft een aanvaller alleen een gebruiker een malafide link te laten openen. Er zijn ook duidelijke beperkingen: Frost kan alleen observeren wat op dezelfde schijf draait als de browser, werkt niet voor apps die van andere schijven starten, en stopt zodra het tabblad gesloten wordt. De tests zijn bovendien alleen op Mac uitgevoerd; Linux en Windows zijn niet getest.

Browsermakers kunnen deze aanval theoretisch blokkeren, maar reacties lopen uiteen: Google ziet fingerprinting‑aanvallen niet als een kwetsbaarheid, Apple beschouwt het nu als out of scope maar sluit toekomstige aanpassingen niet uit, en Mozilla erkent het probleem maar heeft nog geen patch uitgebracht. Dit voorbeeld illustreert hoe web‑api’s zonder toestemming kunnen worden misbruikt voor side‑channel‑fingerprinting en benadrukt dat zowel ontwikkelaars als browsers extra bescherming of toestemmingseisen moeten overwegen om dergelijke lekken te dichten.