Kỹ thuật FROST: Website có thể theo dõi người dùng thông qua hoạt động của ổ cứng SSD

Trong nhiều thập kỷ qua, các website chưa bao giờ thiếu những kỹ thuật tinh vi để theo dõi người dùng một cách bí mật, từ lịch sử duyệt web, dấu vân thiết bị cho đến thao tác bàn phím và chuột. Gần đây, ngay cả những gã khổng lồ như Meta và Yandex cũng bị phát hiện tham gia vào cuộc vi phạm quyền riêng tư này. Giờ đây, các trang web lại có thêm một cách mới để do thám khách truy cập: thông qua việc đo lường các tương tác tinh vi với ổ cứng SSD (Solid State Drive) của họ.

Kỹ thuật này có tên là FROST (Fingerprinting Remotely using OPFS-based SSD Timing - Nhận dạng từ xa dựa trên thời gian SSD sử dụng OPFS), cho phép các site giám sát những trang web khác mà người dùng đang xem cũng như các ứng dụng đang mở trên thiết bị của họ.

Kỹ thuật tấn công kênh bên (Side-channel)

FROST được mô tả chi tiết trong một bài nghiên cứu, khai thác một dạng rò rỉ thông tin được gọi là "kênh bên" (side channel). Đây là các rò rỉ xuất phát từ các biểu hiện vật lý như phát xạ điện từ, bộ nhớ đệm dữ liệu, hoặc thời gian cần thiết để hoàn thành một tác vụ. Bằng cách đo lường các biểu hiện này, kẻ tấn công có thể giải mã lưu lượng được mã hóa và suy ra các dữ liệu bí mật khác.

Cụ thể, FROST sử dụng một cuộc tấn công "kênh bên cạnh tranh" (contention side channel). Loại tấn công này đo lường sự tương tác của các quy trình khác nhau đang sử dụng (hoặc cạnh tranh cho) một tài nguyên nhất định. Bằng cách đo thời gian của các thao tác I/O (nhập/xuất) nhất định trên ổ SSD mà người dùng đang sử dụng, các nhà nghiên cứu đã xác định được những trang web đang mở ở các tab khác — thậm chí là trên các trình duyệt khác — và các ứng dụng đang chạy trên thiết bị. Đáng lo ngại là FROST không yêu cầu bất kỳ sự tương tác nào từ người dùng ngoài việc mở trang web chứa cuộc tấn công.

Khai thác OPFS và Trí tuệ nhân tạo

Các tác giả nghiên cứu chỉ ra rằng trình duyệt web đã phát triển từ những trình xem tài liệu đơn giản thành các nền tảng phức tạp có khả năng chạy các ứng dụng tinh vi. Tuy nhiên, sự mở rộng này cũng làm tăng bề mặt tấn công của trình duyệt.

Khác với các cuộc tấn công kênh bên trước đây trên SSD, FROST chạy hoàn toàn trong trình duyệt. Nó sử dụng JavaScript tương tác với OPFS (Origin Private File System - Hệ thống tệp riêng biệt nguồn gốc), một không gian lưu trữ được dành riêng cho một trang web cụ thể để chạy mã cần thiết hoàn thành nhiệm vụ. Các trang web có thể tạo ra không gian này mà không cần sự tương tác của người dùng.

Mặc dù mỗi hệ thống tệp được đặt trong "hộp cát" (sandbox) — nghĩa là bị cô lập với các trang web khác và chính hệ thống thiết bị — nhưng JavaScript vẫn có thể đo lường các tương tác I/O. Sau đó, bằng cách chạy các tương tác này qua một mạng nơ-ron tích chập (CNN) đã được huấn luyện trước — một hệ thống sử dụng học sâu để phân tích văn bản, âm thanh và hình ảnh — kẻ tấn công có thể suy ra các ứng dụng và trang web đang mở trên thiết bị.

"Kẻ tấn công liên tục đo lường sự cạnh tranh của SSD bằng cách thực hiện các thao tác đọc ngẫu nhiên từ một tệp OPFS lớn," các nhà nghiên cứu giải thích. "Sự cạnh tranh của SSD gây ra bởi hoạt động của người dùng gây ra sự khác biệt về độ trễ có thể đo lường được cho các thao tác đọc này. Bằng cách huấn luyện một CNN trên các dấu vết này, kẻ tấn công có thể nhận dạng hoạt động của người dùng trên hệ thống máy chủ bằng cách phân loại các dấu vết mới bằng mô hình đã huấn luyện."

Những hạn chế và cách phòng chống

May mắn thay, kỹ thuật này vẫn có những hạn chế nhất định. Đầu tiên, tệp OPFS phải cực kỳ lớn — có khả năng 1GB hoặc hơn. Yêu cầu này có nghĩa là các cuộc tấn công quy mô lớn chắc chắn sẽ bị nhiều người dùng phát hiện. Ngoài ra, tệp OPFS phải được lưu trữ trên cùng một SSD mà người dùng đang sử dụng. Điều này thường không phải là vấn đề khi theo dõi các trang web mở, nhưng nếu các ứng dụng sử dụng một ổ SSD riêng biệt để lưu trữ ứng dụng, FROST sẽ không thể phát hiện ra chúng.

Một trong những cách tốt nhất để ngăn chặn các cuộc tấn công FROST là đóng các tab ngay khi chúng không còn cần thiết. Những người dùng am hiểu hơn có thể giám sát việc tạo và kích thước của các tệp OPFS được phân bổ bởi các trang web không rõ nguồn gốc. Các nhà nghiên cứu cũng đề xuất các cách để các nhà sản xuất trình duyệt chặn kênh bên này, chẳng hạn như giới hạn kích thước tối đa của các tệp như vậy. Hiện tại, chưa có dấu hiệu cho thấy các cuộc tấn công FROST đã được thực hiện trong thực tế.

Các nhà nghiên cứu đã thực hiện cuộc tấn công FROST hoàn chỉnh trên một máy Mac M2. Trên Linux, họ cho thấy nguyên thủy cơ bản (đo dấu vết độ trễ truy cập SSD từ JavaScript) hoạt động nhưng chưa chạy cuộc tấn công đầy đủ. Tuy nhiên, họ kỳ vọng hiệu suất sẽ tương tự trên Linux. Nghiên cứu này chưa được kiểm thử trên Windows.