هشدار امنیتی: وب‌سایت‌ها می‌توانند با تحلیل فعالیت SSD کاربران را ردیابی کنند

وب‌سایت‌ها سال‌هاست که از طریق روش‌هایی مانند اثرانگشت‌برداری مرورگر (Browser Fingerprinting)، اسکریپت‌های ردیابی و سایر تکنیک‌های مشابه اطلاعاتی درباره بازدیدکنندگان جمع‌آوری می‌کنند. اکنون پژوهشگران روش جدیدی را معرفی کرده‌اند که به چیزی متکی است که اکثر کاربران هرگز تصور نمی‌کنند یک وب‌سایت بتواند آن را مشاهده کند: فعالیت‌های در حال انجام روی SSD یا درایو حالت جامد (Solid-State Drive)، همان حافظه‌ای که فایل‌ها و برنامه‌ها روی آن ذخیره می‌شوند!

این تکنیک که FROST نام دارد و مخفف عبارت Fingerprinting Remotely using OPFS-based SSD Timing است، به یک وب‌سایت اجازه می‌دهد اطلاعاتی درباره وب‌سایت‌ها و برنامه‌های فعال روی سیستم کاربر به دست آورد. به نظر می‌رسد استفاده از خدمات امنیت شبکه مدرن روز به روز اهمیت بیشتری پیدا می‌کند! برای در ادامه با گزارش فالنیک از ردیابی کاربران از طریق SSD همراه باشید!

ردیابی کاربران از طریق SSD چگونه انجام می‌شود؟

یک قابلیت مرورگر که به ابزار حمله تبدیل شده است! FROST در دسته حملات «کانال جانبی» (Side-Channel Attack) قرار می‌گیرد؛ نوعی حمله که اطلاعات را از طریق سیگنال‌های غیرمستقیم تولیدشده توسط سیستم استخراج می‌کند. در این روش سیگنال مورد استفاده از پدیده‌ای به نام رقابت برای دسترسی به SSD یا SSD Contention ناشی می‌شود؛ وضعیتی که در آن چندین برنامه به‌طور هم‌زمان برای دسترسی به یک دستگاه ذخیره‌سازی رقابت می‌کنند.

مهاجمان با اندازه‌گیری اختلاف‌های زمانی ایجادشده در نتیجه این رقابت می‌توانند اطلاعاتی درباره فعالیت‌هایی که در بخش‌های دیگر سیستم در حال انجام هستند جمع‌آوری کنند.

در گذشته حملات کانال جانبی مبتنی بر SSD نیازمند اجرای نرم‌افزار روی دستگاه قربانی بودند؛ اما FROST این نوع حمله را مستقیماً به داخل مرورگر منتقل کرده است!

این روش بر قابلیت Origin Private File System (OPFS) تکیه دارد؛ ویژگی‌ای در مرورگرها که به هر وب‌سایت یک فضای ذخیره‌سازی محلی و ایزوله اختصاص می‌دهد تا داده‌های خود را روی دستگاه کاربر ذخیره کند. به گفته پژوهشگران این نخستین نمونه‌ای است که نشان می‌دهد چگونه می‌توان از OPFS برای نشت اطلاعات از سیستم قربانی از طریق کد جاوااسکریپت در مرورگر سوءاستفاده کرد.

برای اجرای این حمله کاربر تنها کافی است از یک صفحه وب حاوی کد مخرب بازدید کند. این حمله به بدافزار، افزونه مرورگر، دسترسی سطح بالا یا نصب هیچ نرم‌افزار اضافی نیاز ندارد. محققان همچنین نشان دادند که همین مکانیزم می‌تواند برای ایجاد یک کانال ارتباطی مخفی از طریق رقابت بر سر دسترسی به SSD مورد استفاده قرار گیرد.

مرورگرها؛ از نمایش‌دهنده صفحات وب تا پلتفرم اجرای برنامه‌ها

پژوهشگران معتقدند این یافته‌ها نشان‌دهنده تغییر گسترده‌ای در نحوه استفاده از مرورگرهای وب است. آنها در مقاله مرتبط با FROST خود نوشته‌اند:

«مرورگرهای وب از نمایش‌دهنده‌های ساده اسناد به پلتفرم‌های پیچیده‌ای تبدیل شده‌اند که قادر به اجرای برنامه‌های پیشرفته هستند. شرکت‌هایی مانند گوگل، مایکروسافت و ادوبی مجموعه‌های کامل نرم‌افزارهای اداری، ابزارهای ویرایش عکس و ویدئو و حتی محیط‌های توسعه نرم‌افزار (IDE) را به‌صورت کاملاً مبتنی بر مرورگر ارائه کرده‌اند.»

به گفته نویسندگان انتقال برنامه‌ها به بستر وب مزایایی همچون استقلال از پلتفرم، دسترسی آسان و به‌روزرسانی مداوم را فراهم می‌کند؛ اما در مقابل چالش‌های جدیدی را در حوزه امنیت سایبری و حریم خصوصی به وجود می‌آورد.

محدودیت‌ها و راهکارهای مقابله با ردیابی کاربران از طریق SSD

با وجود قابلیت‌های این حمله، FROST دارای محدودیت‌هایی نیز هست. برای انجام اندازه‌گیری‌های طولانی‌مدت به یک فایل OPFS بزرگ نیاز است که می‌تواند فضای ذخیره‌سازی قابل توجهی را اشغال کند. در نتیجه کاربرانی که وضعیت فضای دیسک خود را بررسی می‌کنند ممکن است مصرف غیرعادی فضای ذخیره‌سازی را تشخیص دهند.

علاوه بر این FROST تنها زمانی مؤثر است که فعالیت هدف روی همان SSD در حال پایش انجام شود. در زمینه شناسایی وب‌سایت‌ها، این محدودیت کمتر مشکل‌ساز است؛ زیرا فایل‌های OPFS معمولاً در محل پیش‌فرض مرورگر ذخیره می‌شوند. اما در شناسایی برنامه‌ها سیستم‌هایی که از چند درایو مجزا برای وظایف مختلف استفاده می‌کنند، ممکن است دقت حمله را کاهش دهند.

این روش همچنین امکان دسترسی مستقیم به فایل‌های ذخیره‌شده روی دستگاه را فراهم نمی‌کند و قادر به دور زدن مکانیزم‌های امنیتی Sandbox مرورگرها نیست.

محققان چندین راهکار برای کاهش خطر این حمله پیشنهاد کرده‌اند که از جمله آن‌ها می‌توان به موارد زیر اشاره کرد:

• محدود کردن میزان فضای ذخیره‌سازی قابل دسترس از طریق OPFS
• کاهش دقت اطلاعات مربوط به زمان که در اختیار وب‌سایت‌ها قرار دارد
• هشدار به کاربران هنگام ذخیره‌سازی حجم غیرعادی داده توسط یک وب‌سایت

واکنش گوگل، اپل و موزیلا به ردیابی کاربران از طریق SSD

یافته‌های این پژوهش پیش از انتشار عمومی به‌صورت مسئولانه در اختیار گوگل، موزیلا و اپل قرار گرفت. تیم توسعه Chromium اعلام کرد که حملات مبتنی بر Fingerprinting را در دسته آسیب‌پذیری‌های امنیتی قرار نمی‌دهد. اپل نیز این موضوع را خارج از محدوده بررسی‌های امنیتی خود دانسته، هرچند اعلام کرده است که ممکن است در آینده راهکارهایی برای کاهش اثر آن ارائه شود. در همین حال موزیلا ضمن تأیید نتایج تحقیق، تا زمان انتشار این پژوهش هنوز هیچ مکانیزم مقابله‌ای برای آن پیاده‌سازی نکرده بود.

جمع‌بندی

پژوهش FROST نشان می‌دهد که حتی قابلیت‌های به ظاهر بی‌خطر مرورگرها نیز می‌توانند به کانالی برای جمع‌آوری اطلاعات کاربران تبدیل شوند. هرچند این روش محدودیت‌های فنی قابل توجهی دارد، اما بار دیگر اهمیت توجه به حریم خصوصی و بازنگری در قابلیت‌های پیشرفته مرورگرهای مدرن را برجسته می‌کند.