Araştırmacılar, web sitelerinin kullanıcıların SSD etkinliklerini tahlil ederek aygıttaki öteki açık uygulamaları ve web sitelerini tespit edebileceği yeni bir metot geliştirdi. FROST ismi verilen bu teknik, tarayıcı tabanlı JavaScript kodlarının depolama ünitesindeki I/O etkileşimlerini ölçmesine dayanıyor.

Her ne kadar evrak sistemleri birbirinden izole edilmiş olsa da, bu yol SSD üzerindeki gecikme müddetlerini kullanarak bir bilgi izi oluşturuyor. Elde edilen bu datalar, evvelden eğitilmiş bir evrişimli hudut ağı modeliyle işlenerek kullanıcının aygıtındaki faaliyetler sınıflandırılabiliyor.

FROST saldırısının çalışma prensibi ve kısıtlamaları

Saldırganlar, bu prosedürü uygulamak için tarayıcı üzerinden büyük boyutlu bir OPFS belgesi oluşturarak daima rastgele okuma süreçleri gerçekleştiriyor. Kullanıcıların aygıtlarında yaptıkları başka süreçler, SSD üzerinde bir çekişme yaratarak okuma gecikmelerinde ölçülebilir farklara neden oluyor.

Bu tekniğin başarılı olması için saldırganın en az bir gigabayt boyutunda büyük bir evraka muhtaçlık duyması gerekiyor. Bu durum, taarruzun geniş çapta uygulanması halinde kullanıcılar tarafından fark edilme mümkünlüğünü artırıyor.

Ayrıca, akının gerçekleşmesi için ilgili evrakın kullanıcının faal olarak kullandığı SSD üzerinde depolanması kural. Şayet uygulamalar farklı bir SSD üzerinde çalışıyorsa, FROST prosedürü bu uygulamaları tespit edemiyor.

Güvenlik tedbirleri ve gelecekteki çalışmalar

Araştırmacılar, FROST taarruzlarına karşı en tesirli korunma metotlarından birinin muhtaçlık duyulmayan tarayıcı sekmelerini kapatmak olduğunu belirtiyor. Şuurlu kullanıcılar, tarayıcı tarafından oluşturulan kuşkulu OPFS evraklarının boyutlarını ve varlığını denetim ederek de tedbir alabiliyor.

Tarayıcı geliştiricileri için önerilen tahlillerden biri, web sitelerinin oluşturabileceği evrak boyutlarına katı sınırlamalar getirmek. Bu sayede, yan kanal ataklarının önünün kesilmesi hedefleniyor.

Şu ana kadar FROST taarruzlarının gerçek dünyada kullanıldığına dair rastgele bir bulguya rastlanmadı. Araştırma grubu, tam kapsamlı akın testlerini bir M2 işlemcili Mac üzerinde gerçekleştirdi.

Linux sistemlerinde de emsal bir temel düzeneğin çalıştığı gözlemlendi, fakat tam ölçekli bir atak denemesi yapılmadı. Araştırmacılar, Windows işletim sistemi üzerinde ise rastgele bir test gerçekleştirmedi.

Çalışmanın ortak müelliflerinden Hannes Weissteiner, macOS ve Linux ortasındaki performans benzerlikleri nedeniyle emsal sonuçların beklendiğini söz ediyor. Teknik ayrıntıların tamamının Temmuz ayında düzenlenecek DIMVA konferansında sunulması planlanıyor.

Sizce tarayıcı tabanlı bu tıp yeni jenerasyon takip metotları, internet güvenliği konusunda ne kadar büyük bir tehdit oluşturuyor?

Kaynak: Shiftdelete