Новый метод слежки: сайты анализируют активность SSD

27 мая 2026 г.

Веб-сайты могут тайно отслеживать пользователей, анализируя активность их SSD-накопителей. Это происходит через браузер с помощью простого JavaScript.

Графическое изображение веб-сайта, анализирующего активность SSD-накопителя пользователя

Новая техника отслеживания под названием FROST позволяет сайтам удаленно определять, какие вкладки открыты у пользователя и какие приложения запущены на его устройстве. Этот метод использует особенности работы твердотельных накопителей (SSD).

FROST, что расшифровывается как «fingerprinting remotely using OPFS-based SSD timing», эксплуатирует так называемый побочный канал. Это утечка информации, возникающая из-за физических проявлений, например, времени, необходимого для выполнения задачи. Атака FROST относится к типу «contention side channel», которая измеряет взаимодействие различных процессов, конкурирующих за общий ресурс.

Для работы FROST не требуется никакого взаимодействия от посетителя, кроме открытия страницы, где размещен код атаки. Авторы исследования отмечают, что современные веб-браузеры стали сложными платформами, способными запускать полноценные приложения. Это расширяет их возможности, но также увеличивает поверхность для атак.

Техника работает исключительно в браузере с помощью JavaScript, который взаимодействует с Origin Private File System (OPFS). OPFS — это выделенное хранилище для конкретного сайта. Хотя каждая файловая система OPFS изолирована, JavaScript может измерять операции ввода-вывода. Затем эти данные обрабатываются предварительно обученной сверточной нейронной сетью (CNN), которая анализирует задержки SSD, вызванные активностью пользователя, и определяет открытые приложения или сайты.

У FROST есть ограничения. Файл OPFS должен быть очень большим, вероятно, гигабайт или больше. Это делает крупномасштабные атаки заметными для многих пользователей. Также файл OPFS должен храниться на том же SSD, что и отслеживаемые приложения. Если приложения используют отдельный SSD, FROST их не обнаружит.

Для защиты от FROST рекомендуется закрывать вкладки сразу после использования. Более опытные пользователи могут отслеживать создание и размер файлов OPFS, выделяемых неизвестными сайтами. Исследователи предложили разработчикам браузеров ограничить максимальный размер таких файлов, чтобы закрыть этот побочный канал.

Сейчас нет данных о реальных атаках FROST. Исследователи провели полную атаку на Mac с чипом M2. На Linux они показали, что базовый механизм измерения задержек доступа к SSD через JavaScript работает, и ожидают схожей производительности для полной атаки. Windows не тестировалась. Результаты исследования будут представлены на конференции DIMVA в июле.