Thought Leadership
Die neue Methode FROST nutzt Festplattenaktivitäten über JavaScript im Browser, um geöffnete Websites und Apps ohne Nutzerinteraktion zu identifizieren.
In der IT-Sicherheit wurde eine neue Methode dokumentiert, mit der Webseiten vertrauliche Aktivitäten ihrer Besucher ausspionieren können. Ein internationales Team von Sicherheitsforschern hat ein Verfahren namens FROST entwickelt. Die Abkürzung steht für Fingerprinting Remotely using OPFS-based SSD Timing. Diese Technik ermöglicht es Betreibern von Webseiten, im Hintergrund zu überwachen, welche anderen Internetseiten ein Besucher gegenwärtig in parallelen Tabs geöffnet hat. Darüber hinaus lässt sich damit feststellen, welche eigenständigen Anwendungen zeitgleich auf dem lokalen Endgerät ausgeführt werden.
Das Besondere an dieser Analysemethode ist, dass sie keine Interaktion des Anwenders erfordert. Es genügt das bloße Aufrufen und Offenhalten einer präparierten Internetseite im Browser, um den Analyseprozess in Gang zu setzen. Die Methode nutzt physische und zeitliche Latenzen beim Datenzugriff auf Solid-State-Drives, um Rückschlüsse auf das Verhalten des Nutzers außerhalb des aktiven Browserfensters zu ziehen.
Contention-Side-Channel über OPFS
Die Funktionsweise von FROST basiert auf einem sogenannten Contention-Side-Channel, zu Deutsch einem Konkurrenz-Seitenkanal. Seitenkanalanalysen nutzen unbeabsichtigte physikalische Rückwirkungen oder Zeitdaten aus, um geschützte Informationen abzuleiten. Bei einem Konkurrenz-Seitenkanal wird gemessen, wie verschiedene Prozesse auf einem Computersystem um dieselbe physische Ressource konkurrieren. In diesem Fall ist die umkämpfte Ressource der Ein- und Ausgabekanal der Festplatte. Wenn ein Nutzer eine andere Webseite lädt oder eine Anwendung startet, erzeugt dies Lese- und Schreibzugriffe auf der SSD.
Das Verfahren FROST läuft im Gegensatz zu früheren hardwarenahen Seitenkanalattacken vollständig innerhalb einer standardisierten Browserumgebung ab. Es nutzt gewöhnlichen JavaScript-Code, der über das sogenannte Origin Private File System agiert. Das Origin Private File System ist ein isolierter, virtueller Speicherbereich, den moderne Webbrowser einer Webseite zur Verfügung stellen, um lokale Leistungsdaten oder temporäre Dateien für rechenintensive Webanwendungen effizient zu verarbeiten. Jede Webseite kann einen solchen Speicherbereich ohne explizite Genehmigung oder Benachrichtigung des Nutzers anlegen.
Neuronale Netze zur Aktivitätsanalyse
Obwohl dieses Dateisystem innerhalb einer Sandbox isoliert ist und somit keinen direkten Zugriff auf das eigentliche Betriebssystem oder die Dateien anderer Programme hat, kann der JavaScript-Code die exakten Zeitabstände von Ein- und Ausgabeinteraktionen messen. Um aus diesen minimalen zeitlichen Latenzen konkrete Rückschlüsse auf die geöffneten Programme zu ziehen, verwenden die Forscher ein vortrainiertes faltungsbasiertes neuronales Netzwerk, ein sogenanntes Convolutional Neural Network. Diese Deep-Learning-Systeme sind darauf spezialisiert, komplexe Muster in strukturierten Datenströmen zu erkennen.
„Der Angreifer misst kontinuierlich die SSD-Konkurrenz, indem er zufällige Lesevorgänge aus einer großen OPFS-Datei durchführt. Die durch Benutzeraktivitäten verursachte SSD-Konkurrenz führt zu messbaren Latenzunterschieden bei diesen Lesevorgängen. Durch das Trainieren eines faltungsbasierten neuronalen Netzwerks auf diesen Spuren kann der Angreifer einen Fingerabdruck der Benutzeraktivität auf dem Host-System erstellen, indem er neue Spuren mithilfe des trainierten Modells klassifiziert. Durch diesen statistischen Abgleich lassen sich spezifische Webseiten und Anwendungen anhand ihres charakteristischen Festplatten-Latenzprofils eindeutig identifizieren.“
Sicherheitsforscher
Gefahrenradius für die Vertraulichkeit von Nutzerdaten
Die Tragweite dieser Entdeckung beeinträchtigt das Vertrauensmodell moderner Webbrowser erheblich. Bisher galt die Isolation einzelner Browser-Tabs als sichere Barriere gegen seitenübergreifendes Tracking, sofern keine Cookies von Drittanbietern zugelassen wurden. FROST bricht diese logische Trennung auf, indem es die physische Hardware als Brücke nutzt. Da die Messung plattform- und browserübergreifend funktioniert, kann eine im Hintergrund geöffnete Schadseite in Google Chrome theoretisch sensible Aktivitäten überwachen, die ein Nutzer zeitgleich in einem vermeintlich sicheren, isolierten Browser wie Mozilla Firefox oder Tor durchführt.
Betroffen sind nicht nur Webseiten, sondern auch lokale Anwendungen wie Kommunikations-Clients, Textverarbeitungsprogramme oder Entwicklungsumgebungen, die beim Laden von Daten spezifische Muster auf der SSD hinterlassen. Angreifer können diese Informationen nutzen, um das Nutzerverhalten präzise zu profilieren, sensible Arbeitsabläufe in Unternehmen auszuspionieren oder im schlimmsten Fall vertrauliche Daten durch die Analyse von Verschlüsselungsoperationen zu rekonstruieren.
Implikationen für das IT-Sicherheitsmanagement und Browser-Hersteller
Für die IT-Governance und das strategische IT-Risikomanagement in Unternehmen stellt das Aufkommen von hardwarebasierten Browser-Seitenkanälen eine komplexe Herausforderung dar. Da die Methode auf standardmäßigen Web-Schnittstellen und legitimen Funktionen wie dem Origin Private File System beruht, schlagen traditionelle Antivirenprogramme oder Endpunktschutzlösungen bei der Ausführung des JavaScript-Codes keinen Alarm. Eine wirksame Abwehr auf Anwendungsebene erfordert von den Browser-Herstellern tiefgreifende Modifikationen bei der Zeitmessung.
Um die Analyse von Latenzunterschieden im Mikrosekundenbereich zu unterbinden, müssten die Timerfunktionen innerhalb von JavaScript künstlich verrauscht oder unpräziser gestaltet werden. Dies wiederum könnte die Leistung legitimer, rechenintensiver Webanwendungen wie webbasierten Editoren oder Spielen beeinträchtigen. Solange keine herstellerseitigen Sicherheits-Updates für die Browser-Infrastruktur bereitstehen, müssen Sicherheitsverantwortliche das Risiko über restriktive Browser-Richtlinien minimieren. Dazu gehört die gezielte Deaktivierung oder Einschränkung von erweiterten Speicher-APIs auf kritischen Arbeitsstationen, um potenziell schadhaften Webseiten das unkontrollierte Anlegen von großen OPFS-Dateien systematisch zu verwehren.
