Một kỹ thuật theo dõi web mới mang tên Frost vừa được công bố, cho phép website suy ra người dùng đang mở trang nào ở tab khác, thậm chí ứng dụng nào đang chạy, bằng cách phân tích độ trễ truy cập SSD ngay trong trình duyệt.

Theo Ars Technica ngày 27/5, Frost là một dạng tấn công kênh bên mới. Cơ chế này có thể hoạt động chỉ với việc người dùng truy cập vào một website chứa mã tấn công, không cần cài thêm mã độc hay chiếm quyền hệ điều hành.

Về bản chất, Frost khai thác biến động độ trễ I/O của SSD do cạnh tranh tài nguyên. Nhóm nghiên cứu sử dụng JavaScript để liên tục truy cập các tệp dung lượng lớn trong OPFS (Origin Private File System), tức vùng lưu trữ riêng của từng website trong trình duyệt, rồi đo các sai khác rất nhỏ về độ trễ khi SSD bị truy cập. Dữ liệu thu được sau đó được đưa vào mô hình mạng nơ-ron tích chập (CNN) đã huấn luyện sẵn để suy ra người dùng đang mở website nào, tab nào, thậm chí đang chạy chương trình gì trên trình duyệt hoặc ở cấp ứng dụng.

Theo nhóm nghiên cứu, trình duyệt ngày nay không còn chỉ là công cụ xem web mà đã trở thành môi trường chạy ứng dụng phức tạp. Google, Microsoft và Adobe hiện đều cung cấp các bộ công cụ văn phòng, phần mềm chỉnh sửa, thậm chí cả môi trường phát triển tích hợp (IDE) chạy trực tiếp trên trình duyệt. Sự mở rộng này giúp ứng dụng web có thêm đất phát triển, nhưng cũng làm tăng đáng kể bề mặt tấn công.

Điểm đáng chú ý của Frost là toàn bộ quá trình tấn công chỉ dựa vào các chức năng sẵn có trong trình duyệt. Dù OPFS được thiết kế để tách biệt theo từng website và về nguyên tắc không truy cập chéo lẫn nhau, JavaScript vẫn có thể đo tương tác I/O với vùng lưu trữ này. Nhóm nghiên cứu cho biết nếu kẻ tấn công lặp lại thao tác đọc ngẫu nhiên trên một tệp OPFS đủ lớn, xung đột truy cập SSD sẽ tạo ra chênh lệch độ trễ mà mô hình AI có thể phân tích để nhận diện mẫu hoạt động của hệ thống.

Dù vậy, khả năng bị khai thác trên diện rộng hiện vẫn còn nhiều rào cản. Trước hết, tệp OPFS phải có dung lượng rất lớn; theo nhóm nghiên cứu, để đạt hiệu quả, kích thước có thể phải từ 1 GB trở lên, đồng nghĩa người dùng có thể nhận ra dung lượng lưu trữ tăng bất thường. Ngoài ra, tệp OPFS phải nằm trên cùng thiết bị lưu trữ với SSD chính của người dùng. Những ứng dụng sử dụng ổ lưu trữ riêng vì thế sẽ khó bị phát hiện hơn.

Về biện pháp giảm thiểu, một khuyến nghị đơn giản là đóng các tab không sử dụng. Người dùng có kinh nghiệm cũng có thể tự kiểm tra dung lượng lưu trữ và sự tồn tại của các tệp OPFS do trình duyệt tạo ra. Nhóm nghiên cứu đồng thời đề xuất các nhà phát triển trình duyệt giới hạn kích thước tối đa của tệp OPFS để giảm rủi ro.

Thử nghiệm được thực hiện trên môi trường Mac dùng chip Apple M2, với toàn bộ kịch bản tấn công được dựng hoàn chỉnh. Nhóm nghiên cứu cho biết việc đo độ trễ truy cập SSD cũng khả thi trên Linux. Về nguyên tắc, mọi hoạt động hệ thống có mẫu truy cập SSD đủ ổn định đều có thể bị mô hình học máy nhận diện. Tuy nhiên, Windows 11 hiện vẫn chưa được thử nghiệm.

Đến nay, chưa có bằng chứng cho thấy Frost đã bị khai thác ngoài thực tế. Kết quả nghiên cứu dự kiến sẽ được trình bày tại hội thảo an ninh DIMVA vào tháng 7. Theo giới chuyên môn, khi trình duyệt ngày càng trở thành nền tảng cho các ứng dụng hiệu năng cao, các kỹ thuật theo dõi web khai thác tín hiệu phần cứng như lưu trữ và I/O sẽ là rủi ro cần được theo dõi sát.