Theo Tom’s Hardware, nhóm nghiên cứu tại Đại học Công nghệ Graz (Áo) vừa công bố một hình thức tấn công kênh bên (side-channel attack) mới mang tên Frost. Khác với các phương thức xâm nhập truyền thống, Frost không tấn công trực tiếp vào hệ thống mà khai thác các dấu hiệu gián tiếp để theo dõi hoạt động của người dùng.
Điều đáng lo ngại là phương thức này có thể hoạt động âm thầm thông qua mã JavaScript chạy trên các trình duyệt phổ biến mà không cần người dùng cấp bất kỳ quyền truy cập nào hay tương tác với website độc hại.
Frost khai thác API có tên OPFS (Origin Private File System) - tính năng cho phép website tạo và lưu trữ tệp tin trực tiếp trên ổ cứng của người dùng mà không cần hiển thị thông báo xin phép.
Trước đây, các cuộc tấn công liên quan đến ổ cứng thường yêu cầu mã độc phải chạy trực tiếp trên hệ điều hành với quyền quản trị cao. Tuy nhiên, Frost có thể hoạt động ngay trong môi trường sandbox của trình duyệt, vượt qua nhiều lớp bảo vệ truyền thống.
Theo cơ chế hoạt động, khi người dùng truy cập một website do tin tặc kiểm soát, trang web này sẽ bí mật tạo một tệp OPFS dung lượng rất lớn trên ổ SSD của nạn nhân. Trình duyệt Chrome và Safari hiện cho phép website sử dụng tới 60% dung lượng ổ đĩa, tương đương hơn 150 GB trên ổ SSD 256 GB.
Tệp tin được thiết kế lớn hơn dung lượng RAM để buộc hệ điều hành phải đọc dữ liệu trực tiếp từ SSD thay vì bộ nhớ đệm. Khi người dùng mở ứng dụng khác hoặc truy cập website khác, các thao tác này sẽ tạo thêm hoạt động ghi dữ liệu lên ổ cứng, làm thay đổi nhẹ tốc độ đọc của tệp OPFS.
Thuật toán AI sử dụng mạng thần kinh tích chập (CNN) sau đó sẽ phân tích các độ trễ cực nhỏ này để nhận diện “dấu vân tay” hoạt động của người dùng, từ đó suy đoán họ đang sử dụng ứng dụng hay website nào.
Các nhà nghiên cứu cho biết do xung đột băng thông xảy ra ở cấp độ phần cứng nên cuộc tấn công có thể hoạt động xuyên trình duyệt. Trong thử nghiệm, website độc hại mở trên Chrome vẫn có thể theo dõi hành vi duyệt web của người dùng trên Safari với độ chính xác cao.
Trên một máy Mac Mini dùng chip M2, RAM 8 GB và SSD 256 GB, Frost đạt độ chính xác khoảng 89% trong việc nhận diện website người dùng truy cập và 96% đối với các ứng dụng đang chạy nền. Nhóm nghiên cứu cũng xác nhận có thể đo được độ trễ SSD tương tự trên Linux, trong khi Windows hiện chưa được thử nghiệm.
Dù vậy, các chuyên gia cho rằng Frost vẫn tồn tại hạn chế lớn là yêu cầu tạo tệp dung lượng quá lớn, dễ khiến người dùng nghi ngờ khi bộ nhớ máy tính bị chiếm dụng bất thường chỉ sau thời gian ngắn lướt web.
Ngoài ra, cuộc tấn công chỉ phát huy hiệu quả nếu hệ điều hành và các ứng dụng khác được cài đặt trên cùng ổ cứng vật lý với tệp OPFS do trình duyệt tạo ra.
Nhóm nghiên cứu cho biết đã gửi cảnh báo tới Google, Apple và Mozilla để phối hợp tìm giải pháp khắc phục. Tuy nhiên, Google cho rằng hình thức fingerprinting này chưa được xem là lỗ hổng bảo mật nghiêm trọng, Apple nhận định phương thức tấn công nằm ngoài phạm vi xử lý của hãng, còn Mozilla hiện chưa công bố kế hoạch vá lỗi.
Bình luận
0