هجوم FROST: المواقع الخبيثة تتعقب نشاطك عبر توقيت أقراص SSD

كشف باحثون من جامعة Graz University of Technology عن هجوم جديد يحمل اسم FROST (Fingerprinting Remotely using OPFS-based SSD Timing)، يسمح لمواقع الويب بتتبع المواقع التي تزورها والتطبيقات التي تفتحها باستخدام JavaScript فقط، ودون الحاجة إلى أي صلاحيات أو إضافات. يعتمد الهجوم على قياس زمن الوصول إلى أقراص SSD عبر ميزة التخزين OPFS – Origin Private File System التي أُضيفت إلى المتصفحات منذ عام 2023، ما يحول هجومًا كان محليًا في السابق إلى تهديد عن بُعد.

آلية التنفيذ

يعتمد الهجوم على الخطوات التالية:

• إنشاء ملف ضخم عبر OPFS يتجاوز حجم ذاكرة الجهاز، مما يجبر النظام على استخدام القرص مباشرة بدلًا من التخزين المؤقت في الذاكرة.
• قراءة أجزاء صغيرة (4 كيلوبايت) من الملف بشكل متكرر وقياس زمن القراءة باستخدام performance.now().
• عند فتح موقع أو تطبيق آخر على نفس القرص، تتغير أزمنة القراءة نتيجة التنافس على موارد القرص.
• يتم تدريب شبكة عصبية على هذه القياسات لتحديد الموقع أو التطبيق المفتوح بدقة عالية.

على نظام macOS، تمكن الباحثون من تحديد المواقع الأكثر زيارة بنسبة دقة وصلت إلى 88.95% في اختبار مغلق، و86.95% في اختبار مفتوح شمل 300 موقع جديد، إضافة إلى تحديد عشرة تطبيقات مثبتة مسبقًا بدقة بلغت 95.83%.

خطورة الهجوم

ما يجعل FROST مقلقًا هو أنه يعمل داخل بيئة المتصفح دون أي تفاعل إضافي من المستخدم، حيث يكفي فتح صفحة خبيثة وتركها تعمل في الخلفية. هذا يعني أن المهاجم يستطيع مراقبة نشاط المستخدم على الجهاز، بما في ذلك المواقع التي يزورها والتطبيقات التي يشغلها، بل وحتى إنشاء قناة سرية لنقل البيانات بين تطبيق محلي والصفحة الخبيثة بسرعة تصل إلى 719.27 بت/ثانية على macOS.

الموقف الحالي للمتصفحات

أُبلغت شركات Google وMozilla وApple بالثغرة قبل نشر البحث، لكن ردودها جاءت متفاوتة:

• فريق Chromium لا يعتبر البصمة الرقمية عبر التوقيت ثغرة أمنية.
• Apple صنفتها خارج نطاق المعالجة لكنها تركت الباب مفتوحًا لإيجاد حل لاحق.
• Mozilla اعترفت بالمشكلة لكنها لم تصدر أي إصلاح حتى الآن.

لا يوجد رقم CVE رسمي للثغرة، ولا تقارير عامة عن استغلالها في البرية حتى الآن.

طرق الحماية الممكنة

الحلول المتاحة للمستخدمين محدودة:

• إغلاق التبويب الخبيث يوقف الهجوم فورًا.
• مراقبة التخزين في المتصفح لرصد ملفات ضخمة غير مبررة قد تكون مؤشرًا على الاستغلال.
• على أنظمة Linux، يوفر برنامج profile-sync-daemon حماية عرضية عبر إبقاء ملفات المتصفح في الذاكرة بدلًا من القرص.

أما الحلول الجذرية فتتطلب تدخل مطوري المتصفحات، مثل:

• تقليص حجم ملفات OPFS بحيث تبقى ضمن حدود الذاكرة.
• تقليل دقة المؤقتات أثناء استخدام OPFS.
• إضافة نافذة إذن قبل السماح بإنشاء ملفات كبيرة عبر OPFS.

لكن هذه الإجراءات قد تؤثر على الأداء وسهولة الاستخدام، وهو ما يفسر بطء الاستجابة حتى الآن.