Minaccia FROST: come i siti web riescono a spiare le nostre attività analizzando i tempi degli SSD

I confini della cyber-sorveglianza si spostano sempre più avanti. Una nuova minaccia informatica battezzata FROST (Fingerprinting Remotely using OPFS-based SSD timing) dimostra come sia possibile monitorare la navigazione web e i programmi aperti di un utente semplicemente analizzando i micro-comportamenti delle unità di memoria a stato solido (SSD). Questo tipo di offensiva rientra nella categoria degli attacchi a canale laterale, i quali non sfruttano falle dirette nel software, ma interpretano segnali fisici involontari emessi dall'hardware durante l'elaborazione dei dati (come le fluttuazioni nei tempi di calcolo o le emissioni elettromagnetiche) per intercettare informazioni teoricamente blindate.

La dinamica dell'attacco basato sulla contesa delle risorse

Nel dettaglio, FROST agisce come un "attacco a canale laterale basato sulla contesa". Nel momento in cui l'utente visita una pagina web infetta, quest'ultima avvia in background un monitoraggio millimetrico delle tempistiche di scrittura e lettura (operazioni di I/O) dell'SSD. Misurando i rallentamenti infinitesimali causati dal contemporaneo utilizzo del disco da parte di altri software, il codice riesce a capire quali programmi o altre schede del browser siano attivi in quel momento.

L'operazione avviene direttamente all'interno del browser tramite uno script JavaScript che sfrutta l'OPFS (Origin Private File System), un'area di archiviazione virtuale privata che i moderni navigatori web mettono a disposizione dei singoli siti. Sebbene questo spazio sia teoricamente isolato in una "sandbox" per ragioni di sicurezza, JavaScript mantiene la capacità di cronometrare i tempi di risposta dell'hardware. I dati così raccolti vengono inviati all'attaccante e dati in pasto a una rete neurale convoluzionale (CNN), un'intelligenza artificiale in grado di riconoscere i pattern di consumo e identificare con precisione millimetrica i siti o i programmi aperti dalla vittima.

Esistono tuttavia dei vincoli tecnici: affinché il tracciamento vada a buon fine, il file temporaneo creato nell'OPFS deve superare la dimensione di 1 GB e deve risiedere sulla medesima unità SSD in cui girano i programmi spiati. Se le applicazioni sensibili sono installate su un hard disk o un SSD secondario, l'attacco perde efficacia.

Strategie di mitigazione e sistemi vulnerabili

I test di laboratorio che hanno portato alla luce FROST sono stati condotti con successo su un sistema Mac dotato di chip M2, spingendo gli esperti a segnalare immediatamente il problema ai produttori di browser per lo sviluppo di contromisure integrate. La tecnica ha mostrato la sua potenziale efficacia anche su ambiente Linux, mentre non è ancora stata verificata sui sistemi operativi Windows.

Per l'utente comune, la prima e più semplice difesa consiste nell'adottare una buona igiene digitale, evitando di lasciare aperte decine di schede nel browser quando non sono strettamente necessarie, riducendo così le attività simultanee monitorabili dall'esterno.